Le CERT RENATER a produit un document de préconisation pour les usages nomades :
La première des mesures à mettre en œuvre, dans le cadre d'utilisation d'un portail captif, est le chiffrement des flux d'authentification par l'utilisation du protocole https.
De plus, le principe même du portail captif accorde une connectivité, certes limitée, avant toute authentification. Un attaquant peut facilement profiter de cette connectivité pour intercepter les flux de communication en utilisant deux méthodes combinées :
Lors des JRSSI 2008, un groupe de travail composé du CERT RENATER, du CRU, de l'UREC et de l'INRIA a produit des recommandations afin de faciliter l'usage des accès nomades dans les établissements.
Faut-il limiter la durée des sessions ?
Faut-il déconnecter l'utilisateur en cas d'inactivité ?
Il est difficile de répondre à ces questions car il faut tenir compte des ressources matérielles disponibles (capacités des bornes, du serveur DHCP, du portail,…), du nombre d'utilisateurs et de leurs souhaits.
Lorsque c'est possible il est souhaitable de maintenir la session tant que l'équipement est présent et actif sur le réseau (même si l'utilisateur n'a pas d'activité directe).
Dans tous les cas il faut s'assurer de couper la session lorsque l'équipement n'est plus présent ou actif sur le réseau.
présent = raccordé (associé dans le cas du WiFi)
actif = connectivité IP établie
Une méthode pour tester l'arrêt d'un équipement peut consister à utiliser ARP pour constater un changement d'adresse MAC ou un timeout.