Captive Portals
Många universitet vill erbjuda publika nätverksuttag och trådlöst nät till anställda, studenter och gäster. Samtidigt vill man ha någon slags kontroll på vem som använder nätverket. Detta är ungefär samma problem som t.ex. Telia Homerun och liknande har att lösa, fast de ju är mera fokuserade på att kunna ta betalt också.
Ett enkelt sätt som många använder är det som kallas "captive portal". Man separerar de publika nätverksuttagen och det trådlösa nätet på ett särskilt nätverk (via särskilda switchar eller via VLAN-teknik). Sedan sätter man en särkilt brandvägg mellan detta nät och resten av världen.
Den här brandväggen spärrar normalt all trafik för alla datorer på insidan. När en användare loggar in släpps trafiken fram från hans eller hennes dator, och när hon eller han loggar ut spärras datorn igen.
Hur ska då användaren kunna logga in för att komma vidare? Den informella "standarden" är att man delar ut adresser via DHCP, ser till att DNS-uppslagningar funkerar, och så fångar man all HTTP-trafik utåt och omdirigerar till en inloggningssida (som använder HTTPS om man vill förhindra sniffning av lösenord). Användarens inloggning kontrolleras på något sätt (RADIUS, LDAP, e dyl) mot en kontodatabas. Om inloggningen är korrekt ändras brandväggen så att trafiken släpps fram.
Hur vet man att användaren är klar med nätanvändningen och ska loggas ut? Att lita på att användaren kommer ihåg att gå till en utloggningssida fungerar inte. Ett vanligt knep är att "pinga" den inloggade datorn med ARP-paket (inte vanliga egentliga ICMP-ping) eftersom detta är något alla datorer måste svara på oavsett hur uppsäkrade de är med personliga brandväggar och liknande. När man inte längre får svar på ett tag betraktar man datorn som borta och stänger brandväggen. Den här tekniken kräver att hela insidan sitter direkt mot brandväggen utan några routrar emellan.
Det är enkelt att bygga en captive portal ovanpå en PC med Linux eller BSD. Många svenska universitet bygger denna funktion med Bifrost-Linux (Nomad/IP-login) eller liknande system (t.ex. LiU Netlogon).
Det ställs inte några krav på särskild programvara på klienten utöver en webbläsare (ev. med HTTPS-stöd).
Den främsta nackdelen är att det är ganska enkelt att ta sig runt systemet på diverse sätt genom att åka snålskjuts på andra inloggade användare (eller ännu hellre användare som precis är på väg att försvinna från nätet). Riktigt enkla system kan kringgås bara genom att byta IP-adress, medan mera avancerade kräver att man byter MAC-adress också.
En annan nackdel är också att datorerna på insidan har full kontakt med varandra oavsett inloggning.