درگاه اتصال به اینترنت یا Captive Portal چیست؟
درگاه انحصاری یا Captive Portal صفحه ای برای احراز هویت کاربران جهت استفاده از اینترنت است. این درگاه در فایروال های سوفوس کاربران را ملزم به احراز هویت قبل از استفاده از اینترنت می کنند. از این مزایای این درگاه افزایش امنیت و کنترل بیشتر بر ترافیک وب است.
Captive Portal معمولا شرایطی و قوانینی را برای استفاده از اینترنت قرار میدهند که این شرایط باید تایید شوند.استفاده از این درگاه امکان کنترل وضعیت در صورت فعالیت غیرقانونی توسط کاربر را به ادمین شبکه می دهد. همچنین می توان کنترل بیشتری بر روی پهنای باند داشت و حتی مدت زمان اتصال برای کاربران تعیین کرد.
موارد استفاده
محصولات سوفوس سری XG این امکان را فراهم میکنند که احراز هویت کاربران از طریق درخواست نام کاربری و گذرواژه در مرورگرشان انجام شود.
فعال سازی Captive Portal در سوفوس
برای بهره گیری از این قابلیت مراحل زیر باید انجام شود.
ابتدا به بخش Policies رفته و برای ایجاد یک سیاست جدید بر روی دکمه +Add Firewall Rule کلیک نمایید.
سپس یک User/Network Rule جدید بسازید.
نامی برای سیاست خود برگزینید.
در صورت نیاز می توانید توضیحاتی نیز وارد نمایید.
بخش Match rule based on user identity را فعال نموده و در بخش User or Groups، گروهها و یا کاربرانی را که میخواهید از طریق Captive Portal احراز هویت شده و به اینترنت دسترسی داشته باشند انتخاب کنید.
سپس در قسمت Source و در زیرمجموعه Zone، منطقهای که کاربران مربوطه در آن قرار دارند و ترافیک آنها از این منطقه وارد دستگاه سوفوس میشود را انتخاب کنید.
در بخش Networks، نشانی IP کاربران مد نظر را وارد کنید.
در بخش Services، میتوانید سرویسهای مورد نیاز کاربران اعم از HTTP، HTTPS و غیره را مشخص نمایید.
در بخش Destination نیز میتوانید منطقه (Zone) ای که مقصد درخواست ها در آن قرار دارد را انتخاب کنید.
در بخش Networks نیز نشانی مقاصدی که کاربران با آنها در ارتباط هستند را وارد نمایید.
بخش Action را بر روی حالت Accept قرار دهید.
بخش Rewrite source address (Masquerading) را فعال نمایید تا برای دسترسی کاربران به اینترنت آدرس نامعتبر آنها با آدرس معتبر موجود بر روی درگاه WAN دستگاه، تغییر یابد.
در صورت نیاز میتوانید Malware Scanning را برای پودمان های مربوطه فعال نمایید.
همچنین میتوانید سیاست هایی برای محدود ساختن کابران در نظر بگیرید به عنوان نمونه، در این مثال دسترسی کاربران به Web Mail محدود شده است.
اگر شما به Log این بخش نیاز دارید میتوانید بخش Log Firewall Traffic را نیز فعال نمایید.
در انتها با کلیک بر روی دکمه Save، تنظیمات انجام شده را ذخیره کنید.
حال برای آن که کاربران مربوطه به صفحه احراز هویت از طریق مرورگر و یا به اصطلاح (Captive Portal) هدایت شوند باید Firewall Rule جدیدی با Action، Drop از LAN به WAN ایجاد شود.
توجه داشته باشید، در صورتی که این Firewall Rule ایجاد نشود کاربران به صفحه احراز هویت هدایت نخواهند شد.
تنظیمات این سیاست را مطابق شکل زیر انجام دهید.
در انتها سیاست ایجاد شده را ذخیره نمایید.
حال اگر کاربر مورد نظر (در این مثال کاربر u1)، مرورگر خود را باز کند و سایتی را درخواست دهد، با صفحه احراز هویت (صفحهایی که در شکل زیر مشاهده میکنید) روبرو خواهد شد. پس از وارد نمودن نام کاربری و گذرواژه، میتواند وارد اینترنت شده و از دسترسی خود استفاده نماید.
کاربران باید توجه داشته باشند، تا زمانی که صفحه احراز هویت Captive Portal باز است میتوانند از اینترنت خود استفاده نمایند و در صورت بستن این صفحه، مجاز به استفاده از اینترنت نخواهند بود و مجدد از آنها نام کاربری و گذرواژه خواسته خواهد شد.
مواردی که در ایجاد دسترسی و احراز هویت از طریق Captive Portal حایز اهمیت است و باید رعایت شود به شرح زیر است.
در زمینه احراز هویت از طریق Captive Portal، DNS نقش به سزایی را ایفا می کند؛ هنگامی که کاربر سایتی را درخواست می دهد سیستم او قبل از ارسال درخواست GET HTTP از طریق DNS شروع به تبدیل نام وارد شده (اسم سایت) به نشانی IP آن خواهد کرد. اگر DNS کاربران را بر روی نشانیهای خارجی نظیر 8.8.8.8 و یا 4.2.2.4 قرار داده باشید سیستم کاربر برای تبدیل، درخواستهای خود را به سوی نشانیهای ذکر شده ارسال خواهد کرد و از آنجا که کاربر مربوطه هنوز احراز هویت نشده درخواست وی پذیرفته نخواهد شد و بنابراین قادر نخواهد بود که صفحه احراز هویت را مشاهده نماید. پس اگر DNS کاربران خود را نشانی هایی خارج از شبکه خود قرار داده اید، یک Firewall Rule جدید از LAN به WAN با مشخصات زیر ایجاد نمایید.
Source –> Any, Destination –> Any, Service –> DNS
بخش Rewrite source address (Masquerading) را فعال کرده و این سیاست ایجاد شده را بالاتر از سیاستهای دیگر قرار دهید.
همچنین میتوانید DNS کاربران خود را بر روی آدرس داخلی تجهیزات امنیتی سوفوس XG (LAN IP) قرار داده و با مراجعه به مسیر System > Administration > Device Access، DNS را مطابق شکل زیر را برای LAN Zone فعال نمایید.
بصورت پیش فرض صفحه احراز هویت Captive Portal برای درخواست های HTTP قابل مشاهده است و اگر Home Page مرورگر کاربر بر بروی سایتی با پودمان HTTPS باشد، صفحه مربوط به احراز هویت و یا همان Captive Portal را مشاهده نخواهد کرد و باید درخواست یک صفحه HTTP را دهد.
برای آنکه صفحه احراز هویت (Captive Portal) برای درخواستهای HTTPS نیز قابل مشاهده باشد، باید CA Certificate دستگاه سوفوس سری XG بر روی سیستم های کاربران مورد نظر نصب شود.
شخصی سازی صفحه Captive Portal سوفوس
در فایروال های سوفوس می توان ظاهر و محتوای درگاه انحصاری را سفارشی کرد. به عنوان مثال، می توان لوگوی شرکت و متن سفارشی خود را مشخص کنید.
وارد Configure > Authentication > Web authentication شوید.
در بخش Captive portal appearance می توانید مقادیر دلخواه خود را برای لوگو، رنگ ها، کد HTML صفحه، لیبل فیلدها و … وارد کنید.
در Layout با انتخاب Custom HTML میتوانید به طور کامل HTML، CSS و حتی جاوااسکریپت اختصاصی خود را وارد نمایید فقط به این نکته دقت کنید که محتوا باید داخل تگ قرار داشته باشند.
سپس با کلیک بر روی Preview تغییرات اعمال شده را مشاهده نمایید.
دیدگاهتان را بنویسید