Fig ARP List Fig DNS Setting Fig. 16 Schema di rete con HotSpot Fig Hotspot Interface Fig.

Transcript

1 Sommario 1 Introduzione Scenario applicativo Obiettivi dello stage Motivazioni Progetto Descrizione delle specifiche iniziali Attività di analisi e specifiche funzionali Definizione piattaforma hardware/software Progettazione classi alogin.html Error.html Login.html Logout.html Radvert.html Redirect.html rlogin.html status.html errors.txt md5.js Sviluppo Ambienti e strumenti di sviluppo Note implementative Test di moduli software

2 3.4 Test di integrazione Rilascio ed installazione Conclusione Descrizione risultati Breve manuale utente Problemi noti e linee di possibile futuro sviluppo Bibliografia Sitografia Appendice Frammento pagina login di reindirizzamento su server remoto Pagina di Login Pagina di Login (utente connesso) Pagina di Logout Indice delle Figure Fig. 1 Schema di rete Fig. 2 Mobile Rack Apparati CPG Fig. 3 - MikroTik: System Board View and Layout Fig. 4 WinBox Loader Fig. 5 Cambio Password Fig. 6 Address List Fig. 7 Route List Fig. 8 Default Route Gateway Fig. 9 Route Gateway / Ether Fig. 10 Route Ether1-local-master/local-slaves Fig. 11 Interface List Fig. 12 Esempio di Configurazione DHCP Fig Configurazione DHCP nel CPG

3 Fig ARP List Fig DNS Setting Fig. 16 Schema di rete con HotSpot Fig Hotspot Interface Fig HotSpot Setup Step Fig HotSpot Setup Step Fig HotSpot Setup Step Fig HotSpot Setup Step Fig HotSpot Setup Step Fig HotSpot Setup Step Fig HotSpot Setup Step Fig HotSpot Setup Step Fig Bindings Fig Server di Accesso Fig Definizione dei Profili Server Fig Tabella Utenti Fig Registrazione Utenti Fig Definizione di Profilo di Utente Fig Statistiche per Utente Fig Walled Garden Fig Pagine di Login nel Router ❶

4 1 Introduzione 1.1 Scenario applicativo È assolutamente vero che lo sviluppo e la diffusione dei sistemi elettronici di informazione ha raggiunti livelli altissimi, si propone quindi in modo sempre più allarmante la questione della privacy e della sicurezza personale nel ambito del settore informatico. Non secondo è il problema dell uso delle reti pubbliche o private per compiere reati di vario genere, che vanno dal crimine informatico per spionaggio o danneggiamento delle basi di dati, al blocco dell attività dei server aziendali, fino alla messa in linea di contenuti illegali come pedopornografia o pericolosi come le istruzioni per costruire ordigni esplosivi. Ferma restante la libertà del singolo individuo a comportarsi secondo coscienza, nel momento stesso in cui tale comportamento supera il confine della legalità, nazionale o transnazionale, gli investigatori possono richiedere al provider dei servizi di connessione precise informazioni sulla localizzazione del presunto autore del delitto e la prova del reato, nella forma dei datagrammi e tracciati di navigazione. Quanto sopra risulta ancora più complesso in relazione all avvento delle reti wireless, spesso lasciate a libero accesso senza controllo, ciò per ragioni che di seguito possono essere così riassunte: assenza di una legislazione ad-hoc; convenienza del gestore dell area pubblica (alberghi, posti di ristoro, stazioni ferroviarie, aereoporti, cliniche etc.) a mantenere il cliente fidelizzato offrendo gratuitamente la connessione WiFi; dolo o colpa del privato titolare della connessione su cui è stato installato un router con tecnologia wireless; 4

5 utilizzo di sistemi di sicurezza, quali chiavi WEP, erroneamente considerate una barriera sufficiente posta a blocco dell attività di chi vuole usare le connessione per scopi illeciti. Escludendo questi ultimi due punti che sono da considerarsi relegati nel limbo della determinazione delle responsabilità da ascriversi esclusivamente o mutuamente al provider o al singolo, negli altri casi la presenza di leggi confuse, scarsa certezza giuridica derivata da sentenze spesso contradditorie, a cui vanno ad aggiungersi la impreparazione tecnica degli organismi di controllo, la situazione risulta di fatto senza regole, e il provider del servizio, voglia essere l incauto privato o il grande provider pubblico, pagano le conseguenze dello scarso controllo solo quando gli viene contestata un infrazione la cui entità resta ad oggi indeterminata, ma può avere comunque spiacevoli conseguenze, che in molti casi hanno comportato ad esempio oltre la chiusura dell esercizio anche denunce molto pesanti all Autorità Giudiziaria. Tali conseguenze si sono verificate in vario modo in tutte le aree geografiche del mondo in cui è concesso di accedere a Internet a mezzo reti pubbliche, indipendentemente dal tipo di regime, credo religioso o tipologia della connessione, il che significa che il problema è globale, ma la soluzione deve essere offerta alla luce di una prospettiva locale, che deve considerare tutte le possibili condizioni al contorno, necessarie e/o sufficienti, della connessione a Internet pubblica e libera. Questo è il concetto di Captive Portal Gateway, ovvero un sistema di accesso libero alla rete pubblica, che governi tale possibilità attraverso una ben determinata serie di regole che costituiscano il corpo di una politica della sicurezza rispettosa della privacy e del libero arbitrio, ma anche permettano di agire con professionalità e competenza investigativa coloro i quali usano la rete per delinquere, limitando poi di fatto l attività di chi invece ne fa un potente strumento di lavoro, un efficiente piattaforma di accesso ai servizi pubblici nonché la più dinamica via di espressione del proprio pensiero. Le regole possono essere di vario genere: 5

6 commerciali (accesso libero ma a pagamento); marketing (accesso libero ma con pubblicità mirata); identificazione dell utente (particolari leggi per l antiterrorismo); dedicate ad aree speciali (accesso alla rete universitaria); per ospitalità (alberghi e convegni); per servizi pubblici. ed utilizzare diverse tecnologie indipendenti dal protocollo TCP/IP (ad esempio SMS), da integrarsi nelle procedure di gestione della sicurezza. Tali procedure devono quindi sempre garantire, per quanto più possibile, che vengano rispettate al minimo le seguenti condizioni: Privacy del soggetto connesso Libera espressione di pensiero Sicurezza del trasporto dati Sicurezza della Base dei Dati Sicurezza Nazionale Certezza del crimine e dell identificazione del criminale 1.2 Obiettivi dello stage Capire quali sono e se esistono limiti tecnici, posti dalla attuale tecnologia, è lo scopo primario di questo stage, quindi sviluppare un Captive Portal Gateway, usando appropriate tecniche di autenticazione, l apposito software e hardware, lo sviluppo e l erogazione del servizio, con l intento di poter usare il sistema nei luoghi ed alle condizioni precedentemente descritte. 1.3 Motivazioni La Privacy ha certamente la priorità e oramai tutti ne parlano, associandola al concetto di sicurezza dei dati personali, visto che ad esempio causa dello sviluppo dei sistemi cosiddetti di Social Networking, milioni di individui sparsi in tutto il mondo, mettono in rete enormi quantità di informazioni personali. 6

7 Non considerando la responsabilità della sicurezza nella conservazione dei dati privati, nonché del loro utilizzo, da parte di soggetti quali Facebook, Google o Twitter, che sono peraltro soggetti giuridicamente spesso non raggiungibili in sedi legali ben pubblicate, dove ad esempio indirizzare una qualsivoglia protesta o denuncia, resta il fatto che se si offre una connessione alla rete, ci si rende corresponsabili nel trasporto sicuro dei dati e della protezione dell identità del proprietario di tali dati, almeno fino al router del provider pubblico e quindi al server di immagazzinamento. Installando e ben utilizzando un Captive Portal Gateway (di seguito denominato CPG), dobbiamo quindi non solo garantire l autenticazione, se prevista, e tutti i servizi che ne derivano (contabilizzazione della navigazione per tempo o per larghezza di banda, misura della quantità dei dati scambiati, promozioni, verifica dei parametri di navigazione etc.), ma anche la sicurezza dei dati seguendo misure e contromisure legali quali crittografia o trasmissione fuori banda. 7

8 2 Progetto 2.1 Descrizione delle specifiche iniziali Lo stage ha come obiettivo di progettare una rete interna corporate di medie dimensioni, con controllo di accesso basato su autenticazione delle credenziali di utente o dell indirizzo fisico (MAC address) e password, verificando anche i tempi di utilizzo della rete in relazione a specifici progetti assegnati a gruppi di utenti. Correlando i diritti di accesso alla rete a specifici gruppi che hanno competenza su progetti o dipartimenti, è possibile non solo creare sicurezza ma anche misurare l utilizzo delle risorse umane e tecnologiche per la quantificazione dei progetti o del costo di servizi quali l Assistenza Clienti. Un ulteriore sviluppo, non trattato in questa sede, di un CPG consiste nel ridurre le superfici di attacco dei databases, integrando ad esempio la lista degli utenti e delle regole della politica della sicurezza nell Active Directory dell ambiente di Microsoft Server. Il CPG qui descritto trasforma qualunque browser in un device di accesso e prima di essere autorizzato alla navigazione, l utente deve autenticarsi attraverso una pagina predisposta ad-hoc, che provvede ad eseguire una query sul database utenti (comunque configurato), autorizzando di conseguenza anche l utilizzo di tutti i servizi di rete. Esistono anche altre possibilità di autenticazione attraverso lettori di carte magnetiche, RFID, dispositivi biometrici ma non sono trattate in questa sede per brevità e perché non influenzano in modo sostanziale il progetto ma ne semplificano solo l uso. Questa pagina è registrata in un apposita area files nel Gateway (da dove viene il nome) e viene forzata sempre quando l utente, connesso fisicamente alla rete interna via cavo o wireless, vuole o utilizzare un servizio o aprire un qualsiasi URL senza autenticazione. 8

9 Questo è possibile grazie all intercettazione dei pacchetti trasmessi e la sottomissione dell instradamento di tali dati alle regole della politica aziendale della sicurezza e della gestione dei progetti. Proprio in merito a tale ultima possibilità o per ragioni legate al marketing di prodotti o servizi aziendali, o ancora perché si vuole dare la possibilità di usare la rete aziendale per motivi di emergenza, si è previsto una tabella accessoria (denominata walled garden ) di servizi cosiddetti whitelisted. Più in generale si tratta di servizi (genericamente in forma di applicazioni web) a cui si può accedere direttamente perché: munite di una loro autenticazione autonoma sono pagine della guida utente sono pagine pubblicitarie corrispondono a servizi di pubblica utilità quali 112 o Vigili del Fuoco Nello stesso modo esiste la possibilità, di creare nel database delle regole della politica della sicurezza altre tabelle che identificano altre whitelist, quali ad esempio: elenco dei MAC (indirizzi fisici) di dispositivi comunque autorizzati all accesso senza autenticazione; porte TCP/IP dedicate a servizi comunque accessibili; Singoli o classi di indirizzi si cui instradare le richieste senza autenticazione. Di seguito vedremo come applicare tali sistemi di filtering. 2.2 Attività di analisi e specifiche funzionali In sintesi la burocrazia della UE e la relativa legislazione, recepita in modo più o meno confuso dai paesi membri, con normative esecutive ed operative che vengono applicate in condizioni non necessariamente legate al settore informatico o tecnologico, ma si basano sul fatto che queste reti, talvolta impropriamente aperte, possono essere usate per preparare atti criminali diversi, come preparazione di attacchi terroristici o ciberterroristici, rende necessario ed 9

10 indispensabile, in ogni caso mantenere la funzionalità essenziale di ogni CPG, ovvero la tracciabilità, senza la quale non è possibile fornire anche in via anonima i dati necessari a chi deve a posteriori eseguire un controllo. In un contesto locale o internazionale, in cui ad oggi si dibatte ancora sul concetto giuridico di ciberarma, o quando un semplice accesso non autorizzato ad un database critico, si può considerare un atto criminale, e fino a che punto lo è, orbene allora gli strumenti di autenticazione e tracciabilità, in tutte le loro forme, sono gli strumenti minimi essenziali per garantire in modo rispettoso della privacy, la giusta protezione a chi eroga e a chi ne fa il conseguente uso, servizi di connessione alla rete. Da quanto anzidetto nasce la fondamentale importanza di un Captive Portal Gateway. 2.3 Definizione piattaforma hardware/software Il progetto è stato sviluppato su dispositivi diversi messi a disposizione dalla società Mindteck LTD, con uffici in Bulgaria, dove lo stesso si è realizzato. FIG. 1 SCHEMA DI RETE 10

11 I computer personali ed i server presenti nell organizzazione utilizzano tutti prodotti Microsoft da cui ne derivano tutti i servizi di rete previsti da tale ambiente, in particolare: Microsoft Server 2003/2010 Microsoft Exchange Server 2003/2010 Microsoft CRM Dynamics Microsoft SQL Server 2012 Microsoft Windows 7 Microsoft Office 2010 Microsoft Project 2010 Microsoft Visio 2010 Microsoft Visual Web Developer Microsoft FrontPage La scelta dei dispositivi che vengono utilizzati per il CPG è stata motivata dalla necessità di creare un ambiente di test stabile e configurabile in ogni sua componente, separando quindi il router dall unità radio, ed utilizzando due apparati diversi: ❶ MikroTik RB750G con RouterOS 2.34 ❷ Router CISCO Linksys WRT54-GLE con firmware DD-WRT Si tratta di dispositivi basati su firmware Linux OpenSource, in condizione di gestire facilmente e contemporaneamente un grandissimo numero di funzioni totalmente programmabili. La cablatura di rete è mista in quanto è sia di tipo rame con connettori RJ45 che ottica con larghezza di banda fino a 1Gbit. 11

12 FIG. 2 MOBILE RACK APPARATI CPG Il router ❶ è connesso alla rete pubblica attraverso al porta 1 ed attraverso la porta 2 instrada i dati al router ❷, che provvede a connettere sia via cavo che wireless i clienti presenti nel sito aziendale. I due router sono stati configurati ex novo come Captive Portal Gateway con unità radio programmabile separata. 12

13 FIG. 3 - MIKROTIK: SYSTEM BOARD VIEW AND LAYOUT Il router ❶ non ha configurazioni di default, ad eccezione dell account di amministrazione (admin) che comunque richiede il cambio password al primo accesso. Per la configurazione del router ❶ si possono utilizzare due modalità: Con accesso via interfaccia web presente sulla porta 80 dell indirizzo di fabbrica che è utilizzando il software WinBox (fig. 4) fornito gratuitamente dal produttore che identifica il dispositivo attraverso l indirizzo fisico (consigliato) 13

14 FIG. 4 WINBOX LOADER La console Winbox utilizza una GUI - graphical user interface (GUI). Le funzioni dell interfaccia Winbox rispettano la gerarchia di Terminal Console e viceversa. Nel caso in cui non si disponga di una connessione internet per il download della Console WinBox è possibile accedervi come funzionalità integrata nel router ❶ semplicemente digitando l URL Il cambio password (consigliato) può essere eseguito al primo accesso utilizzando la relativa funzione come da fig

15 FIG. 5 CAMBIO PASSWORD Una volta deciso quali porte dedicare alle connessioni con le reti pubbliche (WAN) e quali alle reti interne (LAN), si può procedere ad assegnare gli indirizzi. FIG. 6 ADDRESS LIST Il menu IP -> Address list permette di svolgere tutte le funzioni di assegnazione, che nel nostro caso sono: 15

16 interfaccia ether1-gateway con indirizzo pubblico come fornito dal provider del servizio, con il ruolo quindi di gateway della rete interna; interfaccia ether2-local-master con indirizzo di rete interno interfacce ethern-local-slave dove N=3 5 come switch assegnati alla porta 2. La fase successiva richiede l istradamento dei dati secondo un routing statico che si può definire attraverso l apposita GUI. Nella fig. 7 si può vedere come i sopra definiti indirizzi sono direttamente connessi con la Route List, potendosi quindi anche definire le regole di routing, in particolare quello statico, calcolando la route migliore per ogni singola destinazione. FIG. 7 ROUTE LIST È intuitivo configurare il routing che viene eseguito per ogni singola porta scrivendo le regole che ne governano il traffico. 16

17 Le regole hanno come parametro essenziale il Dst. Address (il cosidetto indirizzo di destinazione) che ha la proprietà di specificare tutti gli indirizzi di destinazione per cui la route abilita la porta, nelle figure che seguono viene descritta la tabella delle regole per ogni singola porta. FIG. 8 DEFAULT ROUTE GATEWAY 17

18 FIG. 9 ROUTE GATEWAY / ETHER1 FIG. 10 ROUTE ETHER1-LOCAL-MASTER/LOCAL-SLAVES 18

19 Il GPC permette di tenere sotto controllo tutte le interfaccie configurate che possono essere monitorate in ogni momento dal menu Interface list: FIG. 11 INTERFACE LIST Tanto eseguito si può provvedere ad abilitare e configurare sulle porte i servizi di rete quali il DHCP ed il DNS. Il DHCP, ovvero il Dinamic Host Configuration Protocol è un protocollo che serve ad abilitare i dispositivi network (router, access points, hubs, bridges ecc.) di poter comunicare a livello di rete. Il DHCP server mantiene informazione per gli IP disponibili. Ricevendo una richiesta dal DHCP client il server alloca un IP appropriato e manda informazioni per la configurazione della rete. Certamente il DHCP server ed il DHCP client si devono connettere allo stesso collegamento di rete. Questo però non è comodo nel caso i reti grandi come quelle MAN (Metropolitan Area Network), soggetti del nostro progetto. Proprio per questa ragione il nostro 19

20 GPC fornisce la funzione di DHCP relay, che in poche parole è quella di poter connettere più di un client allo stesso server, già messo a disposizione. FIG. 12 ESEMPIO DI CONFIGURAZIONE DHCP FIG CONFIGURAZIONE DHCP NEL CPG 20

21 Come si può vedere nella fig. 13 nel campo DHCP server si configurano le caratteristiche del server e poi gli eventuali DHCP client e DHCP relay. Altra funzionalita che possiamo usufruire è questa degli ARP lists che serve ad esempio per aggiungere static DHCP leases cioè alle connessioni esistenti, ovvero assegnare o mappare indirizzi MAC di diversi dispositivi a indirizzi IP statici (fig. 14). FIG ARP LIST Naturalmente esiste la possibilità che questa tabella si costruisce dinamicamente, ma in questo modo ai diversi dispositivi sono assegnati esattamente IP specifici. In questo modo aumenta la sicurezza della connessione. Una buona pratica è quella di settare il router ❶ come DNS server. Andando al menu IP -> DNS e premendo il bottone Settings si configura il router compilando le informazioni fornite dal ISP (fig. 15). 21

22 FIG DNS SETTING Utilizzando la funzionalità Allow Remote Requests il router viene configurato per accettare richieste dai clients. Il router ❶ risponde alle richieste TCP ed UDP alla porta 53. Terminate tali configurazioni si è pronti per poter cominciare il lavoro principale di adattamento del nostro Captive Portal alle dinamiche della nostra rete. Per fare ciò è necessario accedere alla sezione IP -> Hotspot per poter eseguire tutte le fasi relative alla definitiva applicazione delle regole della politica della sicurezza alla rete secondo lo schema della figura

23 FIG. 16 SCHEMA DI RETE CON HOTSPOT Riservando alla porta ether2 (Fig. 17) l accesso di rete da configurare per la sicurezza, resta da creare le pagine web che opereranno da Portale. FIG HOTSPOT INTERFACE 23

24 Ma vediamo in dettaglio gli 8 passi necessari per arrivare al risultato desiderato attraverso l Hotspot Setup. 1. scegliere su quale interfaccia sarà accessibile il nostro Captive Portal e siccome abbiamo scelto la interfaccia due come nostro local-master, scegliamo anche in questo caso esso come punto di accesso al hotspot: FIG HOTSPOT SETUP STEP 1 2. scegliere l IP address su quale il Captive Portal è accessibile, che è in effetti l IP dell interfaccia stessa quindi è già preconfigurata in quanto l abbiamo già configurata: FIG HOTSPOT SETUP STEP 2 24

25 3. configurare il gruppo di indirizzi (Address Pool) gli indirizzi IP, messi a disposizione agli utenti: FIG HOTSPOT SETUP STEP 3 4. scegliere il certificato SSL che il server userà (nel nostro progetto non si è scelto il protocollo https, ma tale scelta risulta inderogabile per proteggere la comunicazione dei dati su connessioni senza fili) FIG HOTSPOT SETUP STEP 4 25

26 5. si provvede ad inserire l IP del server SMTP (se esiste). FIG HOTSPOT SETUP STEP 5 6. configurare il DNS, di solito già preconfigurato e dato automaticamente: 7. si localizza il server di login. FIG HOTSPOT SETUP STEP 6 FIG HOTSPOT SETUP STEP 7 26

27 8. determinazione dell utente con diritti amministrativi. FIG HOTSPOT SETUP STEP 8 Un controllo fondamentale da parte del router ❶ è quello eseguito sull indirizzo fisico che può essere utilizzato anche per autenticazione o connessione senza limiti. Per tale opportunità viene utilizzata la voce di menu IP -> Hotspot -> IP bindings dove il MAC di un dispositivo elettronico associato ad un indirizzo IP (naturalmente appartenente al IP address pool) questo dispositivo sarà abilitato (o disabilitato) ad accedere liberamente alla connessione. FIG BINDINGS 27

28 Nel campo Type si gestisce l accesso della macchina con il MAC dato scegliendo tre tipi di accesso: blocked, bypassed o regular. Come si vede ad ogni MAC si può associare uno o più Server con gli apposti Server profiles precedentementi creati: FIG SERVER DI ACCESSO FIG DEFINIZIONE DEI PROFILI SERVER 28

29 Null altro a questo punto resta da fare che cominciare a creare la tabella utenti autorizzati all accesso. FIG TABELLA UTENTI FIG REGISTRAZIONE UTENTI 29

30 Attraverso la registrazione utenti e la definizione dei loro profili è possibile assegnare limiti relativi all uso delle risorse di rete da parte del singolo e di gruppi di utenti (fig. 31). Importante risulta anche verificarne il comportamento attraverso adeguate statistiche che permetteranno anche di correggere problematiche di tipo tecnico e/o commerciale (fig. 32). FIG DEFINIZIONE DI PROFILO DI UTENTE 30

31 FIG STATISTICHE PER UTENTE Onde garantire comunque un utilizzo di minima della rete per accedere a servizi di emergenza o corporate possiamo popolare la tabella del Walled Garden, cioè siti accessibili anche se non si è autenticati. Il Walled Garden svolge anche funzione di marketing, permettendo all utente non munito di credenziali di accesso di poter comunque accedere a siti con proposte commerciali sui costi o condizioni di accesso (fig. 33) quando queste non sono residenti localmente (fig. 34) ma residenti su server remoti. 31

32 FIG WALLED GARDEN FIG PAGINE DI LOGIN NEL ROUTER ❶ 32

33 La configurazione del router ❷ (unità di ricetrasmissione WiFi) non viene in questa sede trattata in quanto non influenza l essenza del progetto. In effetti il ruolo del router ❷ è di forwarder del traffico e dipende integralmente dal gestore della rete. Da punto di vista operativo possiamo dire che in caso di necessità (e nel nostro caso questa c è perché si tratta di una rete MAN) si può configurare il router a distribuire il segnale ad altri router tramite la funzione WDS (Wireless Distribution System) che però comporta una perdita di larghezza di banda o adottando un sistema a microcelle come il WAZCO ( dotato di un intelligenza di trasporto. 2.4 Progettazione classi Di seguito per brevità di esposizione si riportano le classi più significative alogin.html <html> <head> <title>wifivestar.net > Welcome!</title> <meta http-equiv="refresh" content="5; url= <meta http-equiv="content-type" content="text/html; charset=iso "> <meta http-equiv="pragma" content="no-cache"> <meta http-equiv="expires" content="-1"> <style type="text/css"> body {color: #000000; font-size: 12px; font-family: verdana; textarea,input,select { background-color: #FFFFFF; border: 1px solid #000000; padding: 2px; margin: 1px; font-size: 12px; color: #000000; a, a:link, a:visited, a:active { color: #000000; text-decoration: none; font-size: 12px; a:hover { border-bottom: 1px dotted #000000; color: #ff0000; img {border: none; td { font-size: 12px; color: #000000; </style> <script language="javascript"> <!-- 33

34 function startclock() { $(if popup == 'true') open('$(link-status)', 'hotspot_status', 'toolbar=0,location=0,directories=0,status=0,menubars=0,resizable=1,width=290,height=200'); $(endif) location.href = '$(link-redirect)'; //--> </script> <base target="_blank"> </head> <body onload="startclock()"> <div align="center"> <table width="286" height="300"> <tr> <td align="center" valign="middle"> <a href=" <img border="0" src="../images/logo_kryptomobile_mindteck.jpg" width="155" height="123" style="border: 5px solid #C0C0C0"></a><br> <br> $(if login-by == 'trial') <br><div style="text-align: center;">welcome trial user!</div><br> $(elif login-by!= 'mac') <br><div style="text-align: center;">welcome $(username)!</div><br> $(endif) <br> <br> You are logged in <br><br> If nothing happens, click <a href="../$(link-redirect)">here</a><br> <br> <a target="_blank" href=" <img src="../images/logo_mindteck.gif" alt="mindteck" /></a><br> <font face="verdana" size="1">wisp Access System Rel <br> Powered by <font size="1"> <a target="_blank" href=" WiFiveStar.NET </a> & <a href=" Kryptotel</a></font><br> Developed in collaboration with <a target="_blank" href=" size="1">lazar Hotels</font></a><br> 2010, 2011 <a target="_blank" href=" <font size="1">mindteck EMEA</font></a></font></td> </tr> </table> </div> </body> </html> 34

35 2.4.2 Error.html <html> <head> <title>wifivestar.net > Hotspot Error</title> <meta http-equiv="content-type" content="text/html; charset=iso "> <meta http-equiv="pragma" content="no-cache"> <meta http-equiv="expires" content="-1"> <style type="text/css"> <!-- textarea,input,select { background-color: #FDFBFB; border: 1px #BBBBBB solid; padding: 2px; margin: 1px; font-size: 14px; color: #808080; body{ color: #737373; font-size: 12px; font-family: verdana; a, a:link, a:visited, a:active { color: #AAAAAA; text-decoration: none; font-size: 12px; a:hover { border-bottom: 1px dotted #c1c1c1; color: #AAAAAA; img {border: none; td { font-size: 12px; color: #7A7A7A; --> </style> </head> <body> <table width="100%" height="100%"> <tr> <td align="center" valign="middle"> <a href=" <img border="0" src="../images/kryptomobile_prodotti.jpg" width="155" height="123" style="border: 4px ridge #C0C0C0"></a><p>Hotspot ERROR: $(error)<br> <br> Back to Login page: <a href="../$(link-login)">$(link-login)</a> </td> </tr> </table> </body> </html> Login.html <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" " <html> <head> <title>wifivestar.net > Login EN</title> <meta http-equiv="content-type" content="text/html; charset=utf-8" /> <meta http-equiv="pragma" content="no-cache" /> 35

36 <meta http-equiv="expires" content="-1" /> <style type="text/css"> body {color: #000000; font-size: 10px; font-family: verdana; textarea,input,select { background-color: #FFFFFF; border: 1px solid #000000; padding: 2px; margin: 1px; font-size: 12px; color: #000000; a, a:link, a:visited, a:active { color: #000000; text-decoration: none; font-size: 10px; a:hover { border-bottom: 1px dotted #000000; color: #ff0000; img {border: none; td { font-size: 12px; color: #000000; </style> <base target="_blank"> </head> <body topmargin="0" leftmargin="0" rightmargin="0" bottommargin="0" marginwidth="0" marginheight="0"> $(if chap-id) <form name="sendin" action="../$(link-login-only)" method="post"> <input type="hidden" name="username" /> <input type="hidden" name="password" /> <input type="hidden" name="dst" value="$(link-orig)" /> <input type="hidden" name="popup" value="true" /> </form> <script type="text/javascript" src="/md5.js"></script> <script type="text/javascript"> <!-- function dologin() { document.sendin.username.value = document.login.username.value; document.sendin.password.value = hexmd5('$(chap-id)' + document.login.password.value + '$(chap-challenge)'); document.sendin.submit(); return false; //--> </script> $(endif) <div align="center"> <table width="276" cellspacing="0" cellpadding="0"> <tr> <td align="center" valign="middle"> <a href=" 36

37 <img border="0" src="../images/banner_kryptotel_skyscraper.jpg" width="120" height="516"></a></td> <td align="center" valign="middle"> <div class="notice" style="color: #000000; font-size: 9px"> <map name="fpmap0"> <area href="../$(link-login-only)?target=it&dst=$(link-orig-esc)" shape="rect" coords="43, 0, 60, 14" alt="italiano" target="_self"> <area target="_self" href="../$(link-login-only)?target=/&dst=$(link-orig-esc)" shape="rect" coords="106, 1, 122, 14"> <area target="_self" href="../$(link-login-only)?target=ru&dst=$(link-orig-esc)" shape="rect" coords="0, 2, 17, 14"> <area target="_self" coords="22, 0, 38, 14" shape="rect" href="../$(link-loginonly)?target=es&dst=$(link-orig-esc)"> <area target="_self" href="../$(link-login-only)?target=fr&dst=$(link-orig-esc)" shape="rect" coords="66, 0, 80, 14"> <area target="_self" href="../$(link-login-only)?target=de&dst=$(link-orig-esc)" shape="rect" coords="86, 2, 101, 14"> </map> <a target="_self" href="../$(link-login-only)?target=bg&dst=$(link-orig-esc)"> <img border="0" src="../images/flag_bg.gif" width="21" height="15"></a> <img border="0" src="../images/toolbar_flags.png" width="123" height="15" usemap="#fpmap0"><br> <a href=" <img border="0" src="../images/kryptomobile_prodotti.jpg" width="155" height="123" style="border: 4px ridge #C0C0C0"></a><br> <font size="1"> <img border="0" src="../images/ico_gotosite.gif" width="15" height="7">if you are guest in an hotel<br> enter your room number as User Name<br> and ask to reception for a valid Password<hr> <img border="0" src="../images/ico_gotosite.gif" width="15" height="7">if you are in <a target="_blank" href=" Zone</a><br> make free registration by clicking <a target="_blank" href=" />$(if trial == 'yes')free trial available, </font> <a style="color: #000000"href="../$(link-login-only)?dst=$(link-origesc)&username=T-$(mac-esc)"> <font size="1">click here</font></a><font size="1">.$(endif)</font></div> <table width="272" height="165" cellpadding="0" cellspacing="0"> <tr> <td align="center" colspan="2"> <form name="login" action="../$(link-login-only)" method="post" $(if chap-id) onsubmit="return dologin()" $(endif)> <input type="hidden" name="dst" value="$(link-orig)" /> <input type="hidden" name="popup" value="true" /> <table width="212" style="background-color: #ffffff"> <tr><td align="right"><b>login</b></td> <td align="left"> <input style="width: 102; height:24" name="username" type="text" value="$(username)"/></td> </tr> 37

38 <tr><td align="right"><b>password</b></td> <td align="left"> <input style="width: 102; height:24" name="password" type="password"/></td> </tr> <tr><td> </td> <td align="left"><input type="submit" value="submit" /></td> </tr> </table><hr> </form> </td> </tr> <tr><td align="center"> <a style="border: none;" href=" src="../images/logo_mindteck.gif" alt="mindteck" /></a></td></tr> </table> <div style="color: #000000; font-size: 8px"> <font face="verdana" size="1">wisp Access System Rel <br> Powered by <a target="_blank" href=" </a> & <a href=" Developed in collaboration with <a target="_blank" href=" Hotels</a><br> 2010, 2011 <a target="_blank" href=" EMEA</a></font></div> <font face="verdana" size="1">$(if error)<br /></font><div style="color: #FF8080; font-size: 9px"> <font face="verdana" size="1">$(error)</font></div> <font face="verdana" size="1">$(endif) </font> </td> <td align="center" bgcolor="#000000" width="10"> </td> </tr> </table> </div> <script type="text/javascript"> <!-- document.login.username.focus(); //--> </script> </body> </html> Logout.html <html> <head> 38

39 <title>wifivestar.net > Logout</title> <meta http-equiv="content-type" content="text/html; charset=iso "> <meta http-equiv="pragma" content="no-cache"> <meta http-equiv="expires" content="-1"> <style type="text/css"> <!-- textarea,input,select { background-color: #FDFBFB; border: 1px #BBBBBB solid; padding: 2px; margin: 1px; font-size: 10px; color: #000000;.tabula{ border-width: 1px; border-collapse: collapse; border-color: #c1c1c1; background-color: transparent; font-family: verdana; font-size: 10px; body{ color: #000000; font-size: 10px; font-family: verdana; a, a:link, a:visited, a:active { color: #000000; text-decoration: none; font-size: 12px; a:hover { border-bottom: 1px dotted #000000; color: #ff0000; img {border: none; td { font-size: 12px; padding: 4px; --> </style> <base target="_blank"> </head> <body> <script language="javascript"> <!-- function openlogin() { if (window.name!= 'hotspot_logout') return true; open('$(link-login)', '_blank', ''); window.close(); return false; //--> </script> <div align="center"> <table width="300"> <tr> 39

40 <td align="center" valign="middle"> <a href=" <img border="0" src="../images/logo_kryptomobile_mindteck.jpg" width="155" height="123" style="border: 5px solid #C0C0C0"></a><br> <b><br>.: You have just logged out! :.<br> <br> Thanks for using our Services!</b> <br><br> <table class="tabula" border="1"> <tr><td align="right">user name</td><td>$(username)</td></tr> <tr><td align="right">ip address</td><td>$(ip)</td></tr> <tr><td align="right">mac address</td><td>$(mac)</td></tr> <tr><td align="right">session time</td><td>$(uptime)</td></tr> $(if session-time-left) <tr><td align="right">time left</td><td>$(session-time-left)</td></tr> $(endif) <tr><td align="right">bytes up/down:</td><td>$(bytes-in-nice) / $(bytes-out-nice)</td></tr> </table> <form action="../$(link-login)" name="login" onsubmit="return openlogin()"> <input type="submit" value="log in"> </form> <a href=" <img border="0" src="../images/logo_mindteck.gif"></a> <br> <font face="verdana" size="1">wisp Access System Rel <br> Powered by <font size="1"> <a target="_blank" href=" WiFiveStar.NET </a> and <a href=" Developed in collaboration with <a target="_blank" href=" size="1">lazar Hotels</font></a><br> 2010, 2011 <a target="_blank" href=" <font size="1">mindteck EMEA</font></a></font></td> </table> </div> </body> </html> Radvert.html <html> <head> <title>mikrotik hotspot > advertisement</title> <meta http-equiv="refresh" content="5; url=../$(link-orig)"> <meta http-equiv="content-type" content="text/html; charset=iso "> <meta http-equiv="pragma" content="no-cache"> <meta http-equiv="expires" content="-1"> <style type="text/css"> <!-- textarea,input,select { background-color: #FDFBFB; 40

41 border: 1px #BBBBBB solid; padding: 2px; margin: 1px; font-size: 14px; color: #808080; body{ color: #737373; font-size: 12px; font-family: verdana; a, a:link, a:visited, a:active { color: #AAAAAA; text-decoration: none; font-size: 12px; a:hover { border-bottom: 1px dotted #c1c1c1; color: #AAAAAA; img {border: none; td { font-size: 12px; color: #7A7A7A; --> </style> <script language="javascript"> <!-- var popup = ''; function openorig() { if (window.focus) popup.focus(); location.href = '$(link-orig)'; function openad() { location.href = '$(link-redirect)'; function openadvert() { if (window.name!= 'hotspot_advert') { popup = open('$(link-redirect)', 'hotspot_advert', ''); settimeout("openorig()", 1000); return; settimeout("openad()", 1000); //--> </script> <base target="_blank"> </head> <body onload="openadvert()"> <table width="100%" height="100%"> <tr> <td align="center" valign="middle"> <a href=" <img border="0" src="../images/logo_multi.jpg" width="552" height="324"></a><br><br> Open <a href="../$(link-redirect)" target="hotspot_advert">our Sponsor Web Page</a> manually or wait few seconds for redirecting! </td> </tr> </table> </body> </html> 41

42 2.4.6 Redirect.html <html> <head> <title>...</title> <meta http-equiv="refresh" content="0; url=../$(link-redirect)"> <meta http-equiv="pragma" content="no-cache"> <meta http-equiv="expires" content="-1"> </head> <body> </body> </html> rlogin.html <html> <!-- <?xml version="1.0" encoding="utf-8"?> <WISPAccessGatewayParam xmlns:xsi=" xsi:nonamespaceschemalocation=" <Redirect> <AccessProcedure>1.0</AccessProcedure> <AccessLocation>$(location-id)</AccessLocation> <LocationName>$(location-name)</LocationName> <LoginURL>$(link-login-only)?target=xml</LoginURL> <MessageType>100</MessageType> <ResponseCode>0</ResponseCode> </Redirect> </WISPAccessGatewayParam> --> <head> <title>...</title> <meta http-equiv="refresh" content="0; url=../$(link-redirect)"> <meta http-equiv="pragma" content="no-cache"> <meta http-equiv="expires" content="-1"> </head> <body> </body> </html> status.html <html> <head> <title>wifivestar.net > Connection Status</title> <base target="_blank"> $(if refresh-timeout) 42

43 <meta http-equiv="refresh" content="$(refresh-timeout-secs)"> $(endif) <meta http-equiv="content-type" content="text/html; charset=iso "> <meta http-equiv="pragma" content="no-cache"> <meta http-equiv="expires" content="-1"> <style type="text/css"> <!-- textarea,input,select { background-color: #FDFBFB; border: 1px #BBBBBB solid; padding: 2px; margin: 1px; font-size: 10px; color: #000000;.tabula{ border-width: 1px; border-collapse: collapse; border-color: #c1c1c1; background-color: transparent; font-family: verdana; font-size: 10px; body{ color: #000000; font-size: 10px; font-family: verdana; a, a:link, a:visited, a:active { color: #000000; text-decoration: none; font-size: 12px; a:hover { border-bottom: 1px dotted #000000; color: #ff0000; img {border: none; td { font-size: 12px; padding: 4px; --> </style> <script language="javascript"> <!-- $(if advert-pending == 'yes') var popup = ''; function focusadvert() { if (window.focus) popup.focus(); function openadvert() { popup = open('$(link-advert)', 'hotspot_advert', ''); settimeout("focusadvert()", 1000); $(endif) function openlogout() { if (window.name!= 'hotspot_status') return true; open('$(link-logout)', 'hotspot_logout', 'toolbar=0,location=0,directories=0,status=0,menubars=0,resizable=1,width=280,height=250'); window.close(); return false; 43

44 //--> </script> </head> <body bottommargin="0" topmargin="0" leftmargin="0" rightmargin="0" $(if advert-pending == 'yes') onload="openadvert()" $(endif) > <div align="center"> <table width="300"> <tr> <td align="center" valign="middle"> <form action="../$(link-logout)" name="logout" onsubmit="return openlogout()"> <p> <a href=" <img border="0" src="../images/logo_kryptomobile_mindteck.jpg" width="155" height="123" style="border: 5px solid #C0C0C0"></a></p> <table border="1" class="tabula"> $(if login-by == 'trial') <br><div style="text-align: center;">welcome trial user!</div><br> $(elif login-by!= 'mac') <br><div style="text-align: center;">welcome $(username)!</div><br> $(endif) <tr><td align="right">ip address:</td><td>$(ip)</td></tr> <tr><td align="right">bytes up/down:</td><td>$(bytes-in-nice) / $(bytes-out-nice)</td></tr> $(if session-time-left) <tr><td align="right">connected / left:</td><td>$(uptime) / $(session-time-left)</td></tr> $(else) <tr><td align="right">connected:</td><td>$(uptime)</td></tr> $(endif) $(if blocked == 'yes') <tr><td align="right">status:</td><td><div style="color: #FF8080"> <a href="../$(link-advert)" target="hotspot_advert">advertisement</a> required</div></td> $(elif refresh-timeout) <tr><td align="right">status refresh:</td><td>$(refresh-timeout)</td> $(endif) </table> $(if login-by-mac!= 'yes') <br> <!-- user manager link <button onclick="document.location=' <!-- end of user manager link --> <input type="submit" value="log off"> $(endif) </form> <a target="_blank" href=" <img border="0" src="../images/logo_mindteck.gif"></a> <br> <font face="verdana" size="1">wisp Access System Rel <br> Powered by 44

45 <font size="1"> <a target="_blank" href=" WiFiveStar.NET </a> & <a href=" Developed in collaboration with <a target="_blank" href=" size="1">lazar Hotels</font></a><br> 2010, 2011 <a target="_blank" href=" <font size="1">mindteck EMEA</font></a></font></td> </table> </div> </body> </html> errors.txt # This file contains error messages which are shown to user, when http/https # login is used. # These messages can be changed to make user interface more friendly, including # translations to different languages. # # Various variables can be used here as well. Most frequently used ones are: # $(error-orig) - original error message from hotspot # $(ip) - ip address of a client # $(username) - username of client trying to log in # internal-error # It should never happen. If it will, error page will be shown # displaying this error message (error-orig will describe what has happened) internal-error = internal error ($(error-orig)) # config-error # Should never happen if hotspot is configured properly. config-error = configuration error ($(error-orig)) # not-logged-in # Will happen, if status or logout page is requested by user, # which actually is not logged in not-logged-in = you are not logged in (ip $(ip)) # ippool-empty # IP address for user is to be assigned from ip pool, but there are no more # addresses in that pool ippool-empty = cannot assign ip address - no more free addresses from pool # shutting-down # When shutdown is executed, new clients are not accepted shutting-down = hotspot service is shutting down 45

46 # user-session-limit # If user profile has limit of shared-users, then this error will be shown # after reaching this limit user-session-limit = no more sessions are allowed for user $(username) # license-session-limit # Depending on licence number of active hotspot clients is limited to # one or another amount. If this limit is reached, following error is displayed. license-session-limit = session limit reached ($(error-orig)) # wrong-mac-username # If username looks like MAC address (12:34:56:78:9a:bc), but is not # a MAC address of this client, login is rejected wrong-mac-username = invalid username ($(username)): this MAC address is not yours # chap-missing # If http-chap login method is used, but hotspot program does not receive # back encrypted password, this error message is shown. # Possible reasons of failure: # - JavaScript is not enabled in web browser; # - login.html page is not valid; # - challenge value has expired on server (more than 1h of inactivity); # - http-chap login method is recently removed; # If JavaScript is enabled and login.html page is valid, # then retrying to login usually fixes this problem. chap-missing = web browser did not send challenge response (try again, enable JavaScript) # invalid-username # Most general case of invalid username or password. If RADIUS server # has sent an error string with Access-Reject message, then it will # override this setting. invalid-username = invalid username or password # invalid-mac # Local users (on hotspot server) can be bound to some MAC address. If login # from different MAC is tried, this error message will be shown. invalid-mac = user $(username) is not allowed to log in from this MAC address # uptime-limit, traffic-limit # For local hotspot users in case if limits are reached uptime-limit = user $(username) has reached uptime limit traffic-limit = user $(username) has reached traffic limit # radius-timeout # User is authenticated by RADIUS server, but no response is received from it, # following error will be shown. 46

47 radius-timeout = RADIUS server is not responding # auth-in-progress # Authorization in progress. Client already has issued an authorization request # which is not yet complete. auth-in-progress = already authorizing, retry later # radius-reply # Radius server returned some custom error message radius-reply = $(error-orig) md5.js /* * A JavaScript implementation of the RSA Data Security, Inc. MD5 Message * Digest Algorithm, as defined in RFC * Version 1.1 Copyright (C) Paul Johnston * Code also contributed by Greg Holt * See for details. */ /* * Add integers, wrapping at 2^32. This uses 16-bit operations internally * to work around bugs in some JS interpreters. */ function safe_add(x, y) { var lsw = (x & 0xFFFF) + (y & 0xFFFF) var msw = (x >> 16) + (y >> 16) + (lsw >> 16) return (msw << 16) (lsw & 0xFFFF) /* * Bitwise rotate a 32-bit number to the left. */ function rol(num, cnt) { return (num << cnt) (num >>> (32 - cnt)) /* * These functions implement the four basic operations the algorithm uses. */ function cmn(q, a, b, x, s, t) { return safe_add(rol(safe_add(safe_add(a, q), safe_add(x, t)), s), b) function ff(a, b, c, d, x, s, t) 47

48 { return cmn((b & c) ((~b) & d), a, b, x, s, t) function gg(a, b, c, d, x, s, t) { return cmn((b & d) (c & (~d)), a, b, x, s, t) function hh(a, b, c, d, x, s, t) { return cmn(b ^ c ^ d, a, b, x, s, t) function ii(a, b, c, d, x, s, t) { return cmn(c ^ (b (~d)), a, b, x, s, t) /* * Calculate the MD5 of an array of little-endian words, producing an array * of little-endian words. */ function coremd5(x) { var a = var b = var c = var d = for(i = 0; i < x.length; i += 16) { var olda = a var oldb = b var oldc = c var oldd = d a = ff(a, b, c, d, x[i+ 0], 7, ) d = ff(d, a, b, c, x[i+ 1], 12, ) c = ff(c, d, a, b, x[i+ 2], 17, ) b = ff(b, c, d, a, x[i+ 3], 22, ) a = ff(a, b, c, d, x[i+ 4], 7, ) d = ff(d, a, b, c, x[i+ 5], 12, ) c = ff(c, d, a, b, x[i+ 6], 17, ) b = ff(b, c, d, a, x[i+ 7], 22, ) a = ff(a, b, c, d, x[i+ 8], 7, ) d = ff(d, a, b, c, x[i+ 9], 12, ) c = ff(c, d, a, b, x[i+10], 17, ) b = ff(b, c, d, a, x[i+11], 22, ) a = ff(a, b, c, d, x[i+12], 7, ) d = ff(d, a, b, c, x[i+13], 12, ) c = ff(c, d, a, b, x[i+14], 17, ) b = ff(b, c, d, a, x[i+15], 22, ) a = gg(a, b, c, d, x[i+ 1], 5, ) d = gg(d, a, b, c, x[i+ 6], 9, ) 48

49 c = gg(c, d, a, b, x[i+11], 14, ) b = gg(b, c, d, a, x[i+ 0], 20, ) a = gg(a, b, c, d, x[i+ 5], 5, ) d = gg(d, a, b, c, x[i+10], 9, ) c = gg(c, d, a, b, x[i+15], 14, ) b = gg(b, c, d, a, x[i+ 4], 20, ) a = gg(a, b, c, d, x[i+ 9], 5, ) d = gg(d, a, b, c, x[i+14], 9, ) c = gg(c, d, a, b, x[i+ 3], 14, ) b = gg(b, c, d, a, x[i+ 8], 20, ) a = gg(a, b, c, d, x[i+13], 5, ) d = gg(d, a, b, c, x[i+ 2], 9, ) c = gg(c, d, a, b, x[i+ 7], 14, ) b = gg(b, c, d, a, x[i+12], 20, ) a = hh(a, b, c, d, x[i+ 5], 4, ) d = hh(d, a, b, c, x[i+ 8], 11, ) c = hh(c, d, a, b, x[i+11], 16, ) b = hh(b, c, d, a, x[i+14], 23, ) a = hh(a, b, c, d, x[i+ 1], 4, ) d = hh(d, a, b, c, x[i+ 4], 11, ) c = hh(c, d, a, b, x[i+ 7], 16, ) b = hh(b, c, d, a, x[i+10], 23, ) a = hh(a, b, c, d, x[i+13], 4, ) d = hh(d, a, b, c, x[i+ 0], 11, ) c = hh(c, d, a, b, x[i+ 3], 16, ) b = hh(b, c, d, a, x[i+ 6], 23, ) a = hh(a, b, c, d, x[i+ 9], 4, ) d = hh(d, a, b, c, x[i+12], 11, ) c = hh(c, d, a, b, x[i+15], 16, ) b = hh(b, c, d, a, x[i+ 2], 23, ) a = ii(a, b, c, d, x[i+ 0], 6, ) d = ii(d, a, b, c, x[i+ 7], 10, ) c = ii(c, d, a, b, x[i+14], 15, ) b = ii(b, c, d, a, x[i+ 5], 21, ) a = ii(a, b, c, d, x[i+12], 6, ) d = ii(d, a, b, c, x[i+ 3], 10, ) c = ii(c, d, a, b, x[i+10], 15, ) b = ii(b, c, d, a, x[i+ 1], 21, ) a = ii(a, b, c, d, x[i+ 8], 6, ) d = ii(d, a, b, c, x[i+15], 10, ) c = ii(c, d, a, b, x[i+ 6], 15, ) b = ii(b, c, d, a, x[i+13], 21, ) a = ii(a, b, c, d, x[i+ 4], 6, ) d = ii(d, a, b, c, x[i+11], 10, ) c = ii(c, d, a, b, x[i+ 2], 15, ) b = ii(b, c, d, a, x[i+ 9], 21, ) a = safe_add(a, olda) b = safe_add(b, oldb) c = safe_add(c, oldc) d = safe_add(d, oldd) 49

50 return [a, b, c, d] /* * Convert an array of little-endian words to a hex string. */ function binl2hex(binarray) { var hex_tab = " abcdef" var str = "" for(var i = 0; i < binarray.length * 4; i++) { str += hex_tab.charat((binarray[i>>2] >> ((i%4)*8+4)) & 0xF) + hex_tab.charat((binarray[i>>2] >> ((i%4)*8)) & 0xF) return str /* * Convert an array of little-endian words to a base64 encoded string. */ function binl2b64(binarray) { var tab = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz /" var str = "" for(var i = 0; i < binarray.length * 32; i += 6) { str += tab.charat(((binarray[i>>5] << (i%32)) & 0x3F) ((binarray[i>>5+1] >> (32-i%32)) & 0x3F)) return str /* * Convert an 8-bit character string to a sequence of 16-word blocks, stored * as an array, and append appropriate padding for MD4/5 calculation. * If any of the characters are >255, the high byte is silently ignored. */ function str2binl(str) { var nblk = ((str.length + 8) >> 6) + 1 // number of 16-word blocks var blks = new Array(nblk * 16) for(var i = 0; i < nblk * 16; i++) blks[i] = 0 for(var i = 0; i < str.length; i++) blks[i>>2] = (str.charcodeat(i) & 0xFF) << ((i%4) * 8) blks[i>>2] = 0x80 << ((i%4) * 8) blks[nblk*16-2] = str.length * 8 return blks /* * Convert a wide-character string to a sequence of 16-word blocks, stored as 50

51 * an array, and append appropriate padding for MD4/5 calculation. */ function strw2binl(str) { var nblk = ((str.length + 4) >> 5) + 1 // number of 16-word blocks var blks = new Array(nblk * 16) for(var i = 0; i < nblk * 16; i++) blks[i] = 0 for(var i = 0; i < str.length; i++) blks[i>>1] = str.charcodeat(i) << ((i%2) * 16) blks[i>>1] = 0x80 << ((i%2) * 16) blks[nblk*16-2] = str.length * 16 return blks /* * External interface */ function hexmd5 (str) { return binl2hex(coremd5( str2binl(str))) function hexmd5w(str) { return binl2hex(coremd5(strw2binl(str))) function b64md5 (str) { return binl2b64(coremd5( str2binl(str))) function b64md5w(str) { return binl2b64(coremd5(strw2binl(str))) /* Backward compatibility */ function calcmd5(str) { return binl2hex(coremd5( str2binl(str))) 51

52 3 Sviluppo 3.1 Ambienti e strumenti di sviluppo Il progetto è stato sviluppato su sistema operativo Microsoft Windows 7 con le seguenti piattaforme a disposizione: Microsoft Server 2003/2010 Microsoft Exchange Server 2003/2010 Microsoft Office 2010 Microsoft Project 2010 Microsoft Visio 2010 Microsoft Visual Web Developer Microsoft FrontPage Sono stati eseguiti test positivi utilizzando anche dispositivi Tablet e Smartphone con sistemi operativi MAC e Android. 3.2 Note implementative Sono stati fatti diversi test di implementazione quali: pagine di login su server remoto database utenti su server remoto e non sono state rilevate differenze significative. 3.3 Test di moduli software Per i test sono state utilizzati gli strumenti offerti dall ambiente di sviluppo Microsoft: Microsoft Server 2003/2010 Microsoft Visual Web Developer Microsoft FrontPage 52

53 Tale scelta è motivata dal fatto che la società presso la quale si è svolto il tirocinio è un Partner Microsoft. 3.4 Test di integrazione Per quanto riguarda il test d integrazione, in quanto il software è stato sviluppato specialmente per il router ❶, non si sono riscontrati problemi con i test fatti. Il Captive Portal è stato provato con diversi devices, ogni volta con successo. L altro aspetto era quello di poter visualizzare l applicazione su diversi dispositivi elettronici, come accenato prima, PCs, tablets o smartphones. 3.5 Rilascio ed installazione L installazione del software risulta estremamente semplice, spesso solo limitata ad un drag & drop dei files testati in locale. Altrettanto intuitivo è l accesso alla rete con qualsiasi browser e quindi in regime di compatibilità totale. 53

54 4 Conclusione 4.1 Descrizione risultati Durante lo svolgimento del progetto sono state usate tecniche di programmazione del protocollo TCP/IP e quindi sono stati utilizzati praticamente tutti i principi di networking, dovendosi configurare la rete in tute le sue componenti. 4.2 Breve manuale utente L unico manuale che l utente deve avere a disposizione è un device che ha la possibilità di connettersi a una rete MAN pubblica ed un browser. Si seguono le operazione per la registrazione e di login e la connessione è pronta ad essere usata. In caso di necessità sono di libero accesso tutte le guide in linea per l accesso. 4.3 Problemi noti e linee di possibile futuro sviluppo Per quanto riguarda i problemi, gli unici che possono proporsi sono a livello di hardware, in quanto i due router possono avere dei malfunzionamenti e questo non porta comunque ad una vulnerabilità del sistema e cioè delle informazioni degli utenti. Resta comunque consigliabile centralizzare il database degli utenti su un server remoto ed al limite protetti da SSL. 54

55 5 Bibliografia Walter Glenn e Michael T. Simpson (2009) MCSE Self-Paced Training Kit (Exam ): Designing a Microsoft Windows Server 2003 Active Directory and Network Infrastructure Versione Italiana di Mondadori Informatica Alison Balter SAMS Teach Yourself Microsoft SQL Server Mondadori Informatica Uyless Black Il Manuale TCP/IP & Related Protocols McGraw-Hill Libri Italia Jim Buyens Sviluppo di Database per il Web.NET Edition Mondadori Informatica 6 Sitografia HCP_Config

56 7 Appendice 7.1 Frammento pagina login di reindirizzamento su server remoto 7.2 Pagina di Login 56

57 7.3 Pagina di Login (utente connesso) 57