Los sistemas sin cliente NAC frecuentemente aprovechan un sistema de autenticación de portal cautivo, para validad la identidad del usuario antes de otorgar acceso hacia la red. Cuando un cliente se conecta hacia una red y abre un navegador web, el sistema de portal cautivo redirecciona la petición HTTP con un mensaje de redirección temporal (HTTP/301), hacia el servidor de portal cautivo por si mismo. Presentando luego un formulario para la autenticación utilizando un nombre de usuario y contraseña, el servidor de portal cautivo descartará la mayoría del tráfico hasta el usuario se autentique exitosamente.

Una vez autenticado, el servidor de portal cautivo otorgará acceso hacia la red. Si el servidor de portal cautivo está utilizando gestión fuera de banda, puede utilizar SNMP (Simple Network Management Protocol), o una sesión interactiva para otorgar al usuario final acceso hacia una segunda VLAN (Virtual Local Area Network), la cual tiene acceso hacia la red interna.

Si el servidor de portal cautivo utiliza gestión en línea, otorgará acceso hacia el sistema victima siguiendo a una autenticación exitosa. El servidor de portal cautivo utiliza la dirección MAC (Media Access Control) de la victima, dirección IP (Internet Protocol), o ambas para validar todo el tráfico originado desde el cliente autenticado.

Los portales cautivos presentan diversas oportunidades para atacantes no autenticados.

Atacar el Portal: El servidor de portal cautivo por mismo es un objetivo para un atacante. Si el sistema de portal cautivo está utilizando gestión fuera de banda, podría utilizar SNMP u otros protocolos para la gestión. Sin importar la posición del servidor de portal cautivo, es un servidor web, y puede ser vulnerable a numerosos tipos ataques web, como Cross-Siste Request Forgery (CSRF), Cross-Site Scripting (XSS, inyección SQL, y otros.

Atacar los Servicios Previos para la Autenticación: Como un protocolo de alto nivel, la autenticación HTTP contra el servidor de portal cautivo, requiere muchos protocolos de capas inferiores hayan hecho su trabajo para soportar al cliente. Antes de la autenticación al portal cautivo, servicios como DHCP (Dynamic Host Configuration Protocol) y DNS deben ser factibles de ser accedidos por el usuario final, lo cual puede representar oportunidades de ataque.

Atacar otros Dispositivos Clientes Previos a la Autenticación: Antes de la autenticación, un atacante puede ser capaz de contactar otros sistemas cliente en la red, sin importar el mecanismo para el despliegue del portal cautivo. Comprometer exitosamente un sistema cliente el cual luego completa la autenticación, puede generar a un mayor acceso hacia la red.

Aunque estas técnicas representan ataque válidos, un enfoque muy útil es evadir los requerimientos para autenticarse hacia un sistema de portal cautivo, y consecuentemente ganar acceso hacia la red posterior a la autenticación.

Fuente:

https://en.wikipedia.org/wiki/Captive_portal
https://tools.ietf.org/html/rfc1157
https://tools.ietf.org/html/rfc2131