IT-World: Як зробити громадську точку доступу
- IT-World: Як зробити громадську точку доступу IT Expert Як це зробити Сам собі адмін Ігор Новіков...
- IT-World: Як зробити громадську точку доступу
IT-World: Як зробити громадську точку доступу
IT Expert Як це зробити Сам собі адмін
Ігор Новіков
| 12.12.2017
Безкоштовний доступ в Інтернет через WiFi - це сьогодні не просто модна фіча для малого бізнесу, а ознака поваги, яке компанія надає відвідувачам і клієнтам, один із способів створити для них атмосферу комфорту, будь то офіс, ресторан або майстерня.
Наявність бездротового Інтернету зручно для всіх - і співробітників, і відвідувачів. Це залучає нових клієнтів. Більш того, зростає популярність інтернет-сервісу «Пошук безкоштовних точок WiFi в місті», через який може приходити додатковий клієнт. А привернути увагу нового клієнта - це вже 50% успіху для розвитку бізнесу.
Однак «прийшла біда звідки не чекали». Просто поставити Wi-Fi-роутер і включити його без пароля і будь-якого захисту - це діра в безпеці. Можна не сумніватися: нею неодмінно скористаються в кращому випадку жартівники, які бажають поцікавитися, які документи лежать у внутрішній мережі безтурботної компанії. Чекати доведеться недовго, якщо судити з коментарів у соцмережах.
Але зараз навіть не це головне. Саме держава звернула увагу на даний сегмент ринку і своєчасно виступило в ролі регулятора, видавши протягом останніх п'яти років ряд законодавчих актів, що накладають серйозні вимоги на компанії, готові надати клієнтам послугу безкоштовного Wi-Fi-доступу.
Закон суворий, але справедливий
У 2014 році з метою припинення спроб використання публічних мереж Wi-Fi для вчинення злочинів, розголошення охоронюваної законом таємниці, поширення публічних закликів до тероризму, екстремістських матеріалів, порнографії був прийнятий Федеральний закон № 97-ФЗ «Про інформацію, інформаційні технології і про захист інформації », а також ряд постанов Уряду РФ. Згідно з ними, на власників точок безкоштовного Wi-Fi з колективним доступом в Інтернет покладено обов'язок ідентифікувати особу користувачів за номером телефону або паспортним даним, а також забезпечити зберігання інформації про факти прийому, передачі, доставки та (або) обробки голосової інформації, письмового тексту, зображень, звуків чи інших електронних повідомлень користувачів Мережі і інформацію про ці користувачів протягом шести місяців з моменту закінчення таких дій.
У разі недотримання закону винні підлягають адміністративній відповідальності за ст. 13.30 КоАП РФ. Так, у 2017 році розмір штрафу, що накладається на громадян за надання Wi-Fi-доступу в Інтернет без ідентифікації, складає від 2 до 5 тис. Рублів; на посадових осіб - від 5 до 50 тис. рублів; на юридичних осіб - від 100 до 200 тис. рублів. За відсутність авторизації власників закладів чекають штрафи в розмірі від 50 до 300 тис. Рублів відповідно до ФЗ «Про протидію екстремістської діяльності» та «Про захист дітей від інформації, що завдає шкоди їх розвитку і здоров'ю».
Незнання закону не звільняє від відповідальності
Перераховувати всі вимоги російських законів до організації публічних Wi-Fi-мереж в малому бізнесі непросто. Документ розроблений Мінкомзв'язку РФ у співпраці з МВС, ФСБ і Мінекономрозвитку. Його положення стосуються організації громадських точок доступу Wi-Fi в кафе, барах, ресторанах, бібліотеках, школах, парках та інших громадських місцях.
Головна умова організації безкоштовного Wi-Fi - обов'язкова авторизація користувачів. Законодавство також вимагає збереження журналу авторизованих Wi-Fi-користувачів протягом 6 місяців.
Відповідно до російського законодавства надання Wi-Fi-мережі можливо будь-яким з трьох способів: 1) створенням компанією власної точки доступу з укладенням угоди з оператором зв'язку про ідентифікацію користувачів; 2) використанням мережі оператора, що відповідає за експлуатацію будівлі або території, на якій розташовується компанія; 3) підключенням до зовнішньої, чужої мережі Wi-Fi.
Порядок авторизації може бути здійснений також трьома способами: 1) шляхом введення персональних даних із зазначенням номера паспорта; 2) за номером мобільного телефону; 3) за логіном на порталі держпослуг.
Але є і приємна новина: російський закон не забороняє проводити авторизацію користувачів на сторінці, що містить рекламу. Для бізнесу залишена креативна складова, що дозволяє запропонувати клієнту свій ексклюзив. При проходженні реєстрації увагу користувача залучено до всього, що він бачить на сторінці, - оптимальна ситуація для подачі рекламного контента з точки зору SMM.
Captive Portal
Для попередження анонімного доступу в Інтернет зловмисників, шахраїв або екстремістів доступ до точок Wi-Fi в громадських місцях здійснюється через спеціально створену сторінку авторизації, яка відкривається при підключенні до загальнодоступної Wi-Fi-мережі. Її прийнято називати Captive Portal.
Сервіс авторизації необов'язково повинен бути обмежений тільки введенням даних, передбачених законом. Його можна також модернізувати для вирішення додаткових завдань: забезпечення багатомовності з використанням шаблонів, використання в якості додаткових способів авторизації. Інші дозволені законом варіанти: по зворотному телефонному дзвінку, за ваучерами, через соціальні мережі. Тут же можна задати обмеження часу виділяються сесій і наданого трафіку, організувати соціологічне опитування, здійснити стягнення плати за доступ і багато іншого.
Принцип роботи Captive Portal простий: при спробі зайти на будь-який сайт з пристрою, MAC-адресу якого незнайомий для Captive Portal, отриманий http-запит замінюється і користувач перенаправляється на стартову сторінку порталу.
Правильна побудова Captive Portal дуже важливо і з точки зору безпеки. Багато такі системи уразливі до атак Man-in-the-Middle, тому питань їх правильного налаштування слід приділяти особливу увагу.
Налаштування Captive Portal на роутерах Keenetic
У Росії десятки компаній спеціалізуються на послуги надання сервісу авторизації, наприклад, в кафе чи готелі. Також самі оператори встановлюють точки доступу і або користуються послугами цих компаній для порталу авторизації, або своїми силами розгортають даний сервіс, встановлюючи і адмініструючи супутню інфраструктуру, наприклад, веб і RADIUS сервер.
Постачальники сервісу авторизації діляться на хмарні і коробкові рішення. До перших відносяться такі компанії як Wi-Fi Systems, MyWiFi і Global Hotspot. Для клієнтів цих компаній, наприклад, господаря кафе, надається віддалений доступ в особистий кабінет для моніторингу підключень кінцевих користувачів, і фізично авторизація кінцевих користувачів відбувається на серверах цих постачальників. До другого типу постачальників сервісу відноситься компанія Netams. Їх програмне забезпечення ставиться на серверах клієнтів і управління всім сервісом в руках самих клієнтів.
Сервіс Captive Portal, реалізований на базі роутерів Keenetic, по суті являє собою настройку конфігурації до одного з найстаріших Open-Source-портальних сервісів ChilliSpot , Перша версія якого вийшла ще в 2005 році. Налаштування роутера здійснюється через його адміністративний інтерфейс, доступний за стандартним адресою 192.168.1.1. Перш за все слід провести стандартну настройку доступу в Інтернет через роутер і точки доступу WiFi, після чого вийти на вкладку «Компоненти» і упевнитися, що додаток Captive Portal включено.
Розробники Keenetic не першими серед конкурентів додали підтримку Captive Portal в свої інтернет-центри, але їх реалізації виділяється рядом переваг. Налаштування найбільш популярних в Росії хмарних постачальників сервісу були додані у вигляді готових профілів в веб-інтерфейс.
Кожен з профілів був протестований з боку постачальників і рекомендований для використання. Адміністратора готелю досить вибрати в списку, що випадає свого постачальника авторизації і ввести пару параметрів з особистого кабінету постачальника. Доступно ручна настройка підключення, якщо відсутня профілю будь-якого постачальника.
Оцінять дане зручність ті, хто стикався з великими інструкціями з підключення роутерів інших вендорів, а також самі постачальники, яким для спрощення підключення доводиться готувати як мінімум готові скрипти.
Кожен постачальник сервісу має свої індивідуальні параметри підключення. Тут можна провести аналогію з провідними операторами, які підключають клієнтів по L2TP, або по IPoE, а також по PPPoE.
В налаштуваннях Кинетик враховані всю нюанси в профілях постачальників для максимальної зручності підключення.
Окремо хочеться відзначити, що функція Captive portal працює у всій лінійці інтернет-центрів Keenetic і в планах виробника підтримувати в майбутніх моделях.
Універсальність налаштування інтерфейсів в Keenetic знайшло відображення в зручності застосування Captive Portal. За замовчуванням портал авторизації прив'язаний до сегменту гостьовій мережі Wi-Fi. Гнучкі настройки дротових інтерфейсів дозволяють будь-який порт або групу портів LAN прив'язати до гостьової мережі. Наприклад, в ресторані касовий апарат і відеокамери будуть налаштовані на доступ в мережу без авторизації через основний сегмент, а всі відвідувачі будуть виходити в мережу за допомогою авторизації. І як ніякий інший вендор Keenetic забезпечує надійне резервування підключення через 3G / 4G USB-модеми всіх провідних операторів.
У разі великих приміщень або товстих стін можуть бути проблеми із зоною покриття Wi-Fi. Для цих задач до основного Keenetic підключається додатковий інтернет-центр в режимі точки доступу, який прокидає запити на проходження авторизації до основного Keenetic.
Captive Portal затребуваний в першу чергу ринком малого бізнесу. Для них дуже важливо надавати безперебійну послугу своїм клієнтам. У разі збою системний адміністратор може в будь-який час доби отримати віддалений доступ до адміністрування Keenetic через веб-інтерфейс або за допомогою утиліти на мобільному телефоні. І це працює з сірим IP-адресою. Фірмова хмарна реалізація віддаленого доступу не прив'язана до типу підключення будь то підключення через проводового провайдера або через 3G / 4G модем. У разі останнього підключення в деяких випадках сам оператор не надає білий IP ні за які гроші і рятує тільки функція хмарного віддаленого доступу Keenetic.
Журнал IT-Expert № 11/2017 [ PDF ] [ Підписка на журнал ]
IT-World: Як зробити громадську точку доступу
IT Expert Як це зробити Сам собі адмін
Ігор Новіков
| 12.12.2017
Безкоштовний доступ в Інтернет через WiFi - це сьогодні не просто модна фіча для малого бізнесу, а ознака поваги, яке компанія надає відвідувачам і клієнтам, один із способів створити для них атмосферу комфорту, будь то офіс, ресторан або майстерня.
Наявність бездротового Інтернету зручно для всіх - і співробітників, і відвідувачів. Це залучає нових клієнтів. Більш того, зростає популярність інтернет-сервісу «Пошук безкоштовних точок WiFi в місті», через який може приходити додатковий клієнт. А привернути увагу нового клієнта - це вже 50% успіху для розвитку бізнесу.
Однак «прийшла біда звідки не чекали». Просто поставити Wi-Fi-роутер і включити його без пароля і будь-якого захисту - це діра в безпеці. Можна не сумніватися: нею неодмінно скористаються в кращому випадку жартівники, які бажають поцікавитися, які документи лежать у внутрішній мережі безтурботної компанії. Чекати доведеться недовго, якщо судити з коментарів у соцмережах.
Але зараз навіть не це головне. Саме держава звернула увагу на даний сегмент ринку і своєчасно виступило в ролі регулятора, видавши протягом останніх п'яти років ряд законодавчих актів, що накладають серйозні вимоги на компанії, готові надати клієнтам послугу безкоштовного Wi-Fi-доступу.
Закон суворий, але справедливий
У 2014 році з метою припинення спроб використання публічних мереж Wi-Fi для вчинення злочинів, розголошення охоронюваної законом таємниці, поширення публічних закликів до тероризму, екстремістських матеріалів, порнографії був прийнятий Федеральний закон № 97-ФЗ «Про інформацію, інформаційні технології і про захист інформації », а також ряд постанов Уряду РФ. Згідно з ними, на власників точок безкоштовного Wi-Fi з колективним доступом в Інтернет покладено обов'язок ідентифікувати особу користувачів за номером телефону або паспортним даним, а також забезпечити зберігання інформації про факти прийому, передачі, доставки та (або) обробки голосової інформації, письмового тексту, зображень, звуків чи інших електронних повідомлень користувачів Мережі і інформацію про ці користувачів протягом шести місяців з моменту закінчення таких дій.
У разі недотримання закону винні підлягають адміністративній відповідальності за ст. 13.30 КоАП РФ. Так, у 2017 році розмір штрафу, що накладається на громадян за надання Wi-Fi-доступу в Інтернет без ідентифікації, складає від 2 до 5 тис. Рублів; на посадових осіб - від 5 до 50 тис. рублів; на юридичних осіб - від 100 до 200 тис. рублів. За відсутність авторизації власників закладів чекають штрафи в розмірі від 50 до 300 тис. Рублів відповідно до ФЗ «Про протидію екстремістської діяльності» та «Про захист дітей від інформації, що завдає шкоди їх розвитку і здоров'ю».
Незнання закону не звільняє від відповідальності
Перераховувати всі вимоги російських законів до організації публічних Wi-Fi-мереж в малому бізнесі непросто. Документ розроблений Мінкомзв'язку РФ у співпраці з МВС, ФСБ і Мінекономрозвитку. Його положення стосуються організації громадських точок доступу Wi-Fi в кафе, барах, ресторанах, бібліотеках, школах, парках та інших громадських місцях.
Головна умова організації безкоштовного Wi-Fi - обов'язкова авторизація користувачів. Законодавство також вимагає збереження журналу авторизованих Wi-Fi-користувачів протягом 6 місяців.
Відповідно до російського законодавства надання Wi-Fi-мережі можливо будь-яким з трьох способів: 1) створенням компанією власної точки доступу з укладенням угоди з оператором зв'язку про ідентифікацію користувачів; 2) використанням мережі оператора, що відповідає за експлуатацію будівлі або території, на якій розташовується компанія; 3) підключенням до зовнішньої, чужої мережі Wi-Fi.
Порядок авторизації може бути здійснений також трьома способами: 1) шляхом введення персональних даних із зазначенням номера паспорта; 2) за номером мобільного телефону; 3) за логіном на порталі держпослуг.
Але є і приємна новина: російський закон не забороняє проводити авторизацію користувачів на сторінці, що містить рекламу. Для бізнесу залишена креативна складова, що дозволяє запропонувати клієнту свій ексклюзив. При проходженні реєстрації увагу користувача залучено до всього, що він бачить на сторінці, - оптимальна ситуація для подачі рекламного контента з точки зору SMM.
Captive Portal
Для попередження анонімного доступу в Інтернет зловмисників, шахраїв або екстремістів доступ до точок Wi-Fi в громадських місцях здійснюється через спеціально створену сторінку авторизації, яка відкривається при підключенні до загальнодоступної Wi-Fi-мережі. Її прийнято називати Captive Portal.
Сервіс авторизації необов'язково повинен бути обмежений тільки введенням даних, передбачених законом. Його можна також модернізувати для вирішення додаткових завдань: забезпечення багатомовності з використанням шаблонів, використання в якості додаткових способів авторизації. Інші дозволені законом варіанти: по зворотному телефонному дзвінку, за ваучерами, через соціальні мережі. Тут же можна задати обмеження часу виділяються сесій і наданого трафіку, організувати соціологічне опитування, здійснити стягнення плати за доступ і багато іншого.
Принцип роботи Captive Portal простий: при спробі зайти на будь-який сайт з пристрою, MAC-адресу якого незнайомий для Captive Portal, отриманий http-запит замінюється і користувач перенаправляється на стартову сторінку порталу.
Правильна побудова Captive Portal дуже важливо і з точки зору безпеки. Багато такі системи уразливі до атак Man-in-the-Middle, тому питань їх правильного налаштування слід приділяти особливу увагу.
Налаштування Captive Portal на роутерах Keenetic
У Росії десятки компаній спеціалізуються на послуги надання сервісу авторизації, наприклад, в кафе чи готелі. Також самі оператори встановлюють точки доступу і або користуються послугами цих компаній для порталу авторизації, або своїми силами розгортають даний сервіс, встановлюючи і адмініструючи супутню інфраструктуру, наприклад, веб і RADIUS сервер.
Постачальники сервісу авторизації діляться на хмарні і коробкові рішення. До перших відносяться такі компанії як Wi-Fi Systems, MyWiFi і Global Hotspot. Для клієнтів цих компаній, наприклад, господаря кафе, надається віддалений доступ в особистий кабінет для моніторингу підключень кінцевих користувачів, і фізично авторизація кінцевих користувачів відбувається на серверах цих постачальників. До другого типу постачальників сервісу відноситься компанія Netams. Їх програмне забезпечення ставиться на серверах клієнтів і управління всім сервісом в руках самих клієнтів.
Сервіс Captive Portal, реалізований на базі роутерів Keenetic, по суті являє собою настройку конфігурації до одного з найстаріших Open-Source-портальних сервісів ChilliSpot , Перша версія якого вийшла ще в 2005 році. Налаштування роутера здійснюється через його адміністративний інтерфейс, доступний за стандартним адресою 192.168.1.1. Перш за все слід провести стандартну настройку доступу в Інтернет через роутер і точки доступу WiFi, після чого вийти на вкладку «Компоненти» і упевнитися, що додаток Captive Portal включено.
Розробники Keenetic не першими серед конкурентів додали підтримку Captive Portal в свої інтернет-центри, але їх реалізації виділяється рядом переваг. Налаштування найбільш популярних в Росії хмарних постачальників сервісу були додані у вигляді готових профілів в веб-інтерфейс.
Кожен з профілів був протестований з боку постачальників і рекомендований для використання. Адміністратора готелю досить вибрати в списку, що випадає свого постачальника авторизації і ввести пару параметрів з особистого кабінету постачальника. Доступно ручна настройка підключення, якщо відсутня профілю будь-якого постачальника.
Оцінять дане зручність ті, хто стикався з великими інструкціями з підключення роутерів інших вендорів, а також самі постачальники, яким для спрощення підключення доводиться готувати як мінімум готові скрипти.
Кожен постачальник сервісу має свої індивідуальні параметри підключення. Тут можна провести аналогію з провідними операторами, які підключають клієнтів по L2TP, або по IPoE, а також по PPPoE.
В налаштуваннях Кинетик враховані всю нюанси в профілях постачальників для максимальної зручності підключення.
Окремо хочеться відзначити, що функція Captive portal працює у всій лінійці інтернет-центрів Keenetic і в планах виробника підтримувати в майбутніх моделях.
Універсальність налаштування інтерфейсів в Keenetic знайшло відображення в зручності застосування Captive Portal. За замовчуванням портал авторизації прив'язаний до сегменту гостьовій мережі Wi-Fi. Гнучкі настройки дротових інтерфейсів дозволяють будь-який порт або групу портів LAN прив'язати до гостьової мережі. Наприклад, в ресторані касовий апарат і відеокамери будуть налаштовані на доступ в мережу без авторизації через основний сегмент, а всі відвідувачі будуть виходити в мережу за допомогою авторизації. І як ніякий інший вендор Keenetic забезпечує надійне резервування підключення через 3G / 4G USB-модеми всіх провідних операторів.
У разі великих приміщень або товстих стін можуть бути проблеми із зоною покриття Wi-Fi. Для цих задач до основного Keenetic підключається додатковий інтернет-центр в режимі точки доступу, який прокидає запити на проходження авторизації до основного Keenetic.
Captive Portal затребуваний в першу чергу ринком малого бізнесу. Для них дуже важливо надавати безперебійну послугу своїм клієнтам. У разі збою системний адміністратор може в будь-який час доби отримати віддалений доступ до адміністрування Keenetic через веб-інтерфейс або за допомогою утиліти на мобільному телефоні. І це працює з сірим IP-адресою. Фірмова хмарна реалізація віддаленого доступу не прив'язана до типу підключення будь то підключення через проводового провайдера або через 3G / 4G модем. У разі останнього підключення в деяких випадках сам оператор не надає білий IP ні за які гроші і рятує тільки функція хмарного віддаленого доступу Keenetic.
Журнал IT-Expert № 11/2017 [ PDF ] [ Підписка на журнал ]
IT-World: Як зробити громадську точку доступу
IT Expert Як це зробити Сам собі адмін
Ігор Новіков
| 12.12.2017
Безкоштовний доступ в Інтернет через WiFi - це сьогодні не просто модна фіча для малого бізнесу, а ознака поваги, яке компанія надає відвідувачам і клієнтам, один із способів створити для них атмосферу комфорту, будь то офіс, ресторан або майстерня.
Наявність бездротового Інтернету зручно для всіх - і співробітників, і відвідувачів. Це залучає нових клієнтів. Більш того, зростає популярність інтернет-сервісу «Пошук безкоштовних точок WiFi в місті», через який може приходити додатковий клієнт. А привернути увагу нового клієнта - це вже 50% успіху для розвитку бізнесу.
Однак «прийшла біда звідки не чекали». Просто поставити Wi-Fi-роутер і включити його без пароля і будь-якого захисту - це діра в безпеці. Можна не сумніватися: нею неодмінно скористаються в кращому випадку жартівники, які бажають поцікавитися, які документи лежать у внутрішній мережі безтурботної компанії. Чекати доведеться недовго, якщо судити з коментарів у соцмережах.
Але зараз навіть не це головне. Саме держава звернула увагу на даний сегмент ринку і своєчасно виступило в ролі регулятора, видавши протягом останніх п'яти років ряд законодавчих актів, що накладають серйозні вимоги на компанії, готові надати клієнтам послугу безкоштовного Wi-Fi-доступу.
Закон суворий, але справедливий
У 2014 році з метою припинення спроб використання публічних мереж Wi-Fi для вчинення злочинів, розголошення охоронюваної законом таємниці, поширення публічних закликів до тероризму, екстремістських матеріалів, порнографії був прийнятий Федеральний закон № 97-ФЗ «Про інформацію, інформаційні технології і про захист інформації », а також ряд постанов Уряду РФ. Згідно з ними, на власників точок безкоштовного Wi-Fi з колективним доступом в Інтернет покладено обов'язок ідентифікувати особу користувачів за номером телефону або паспортним даним, а також забезпечити зберігання інформації про факти прийому, передачі, доставки та (або) обробки голосової інформації, письмового тексту, зображень, звуків чи інших електронних повідомлень користувачів Мережі і інформацію про ці користувачів протягом шести місяців з моменту закінчення таких дій.
У разі недотримання закону винні підлягають адміністративній відповідальності за ст. 13.30 КоАП РФ. Так, у 2017 році розмір штрафу, що накладається на громадян за надання Wi-Fi-доступу в Інтернет без ідентифікації, складає від 2 до 5 тис. Рублів; на посадових осіб - від 5 до 50 тис. рублів; на юридичних осіб - від 100 до 200 тис. рублів. За відсутність авторизації власників закладів чекають штрафи в розмірі від 50 до 300 тис. Рублів відповідно до ФЗ «Про протидію екстремістської діяльності» та «Про захист дітей від інформації, що завдає шкоди їх розвитку і здоров'ю».
Незнання закону не звільняє від відповідальності
Перераховувати всі вимоги російських законів до організації публічних Wi-Fi-мереж в малому бізнесі непросто. Документ розроблений Мінкомзв'язку РФ у співпраці з МВС, ФСБ і Мінекономрозвитку. Його положення стосуються організації громадських точок доступу Wi-Fi в кафе, барах, ресторанах, бібліотеках, школах, парках та інших громадських місцях.
Головна умова організації безкоштовного Wi-Fi - обов'язкова авторизація користувачів. Законодавство також вимагає збереження журналу авторизованих Wi-Fi-користувачів протягом 6 місяців.
Відповідно до російського законодавства надання Wi-Fi-мережі можливо будь-яким з трьох способів: 1) створенням компанією власної точки доступу з укладенням угоди з оператором зв'язку про ідентифікацію користувачів; 2) використанням мережі оператора, що відповідає за експлуатацію будівлі або території, на якій розташовується компанія; 3) підключенням до зовнішньої, чужої мережі Wi-Fi.
Порядок авторизації може бути здійснений також трьома способами: 1) шляхом введення персональних даних із зазначенням номера паспорта; 2) за номером мобільного телефону; 3) за логіном на порталі держпослуг.
Але є і приємна новина: російський закон не забороняє проводити авторизацію користувачів на сторінці, що містить рекламу. Для бізнесу залишена креативна складова, що дозволяє запропонувати клієнту свій ексклюзив. При проходженні реєстрації увагу користувача залучено до всього, що він бачить на сторінці, - оптимальна ситуація для подачі рекламного контента з точки зору SMM.
Captive Portal
Для попередження анонімного доступу в Інтернет зловмисників, шахраїв або екстремістів доступ до точок Wi-Fi в громадських місцях здійснюється через спеціально створену сторінку авторизації, яка відкривається при підключенні до загальнодоступної Wi-Fi-мережі. Її прийнято називати Captive Portal.
Сервіс авторизації необов'язково повинен бути обмежений тільки введенням даних, передбачених законом. Його можна також модернізувати для вирішення додаткових завдань: забезпечення багатомовності з використанням шаблонів, використання в якості додаткових способів авторизації. Інші дозволені законом варіанти: по зворотному телефонному дзвінку, за ваучерами, через соціальні мережі. Тут же можна задати обмеження часу виділяються сесій і наданого трафіку, організувати соціологічне опитування, здійснити стягнення плати за доступ і багато іншого.
Принцип роботи Captive Portal простий: при спробі зайти на будь-який сайт з пристрою, MAC-адресу якого незнайомий для Captive Portal, отриманий http-запит замінюється і користувач перенаправляється на стартову сторінку порталу.
Правильна побудова Captive Portal дуже важливо і з точки зору безпеки. Багато такі системи уразливі до атак Man-in-the-Middle, тому питань їх правильного налаштування слід приділяти особливу увагу.
Налаштування Captive Portal на роутерах Keenetic
У Росії десятки компаній спеціалізуються на послуги надання сервісу авторизації, наприклад, в кафе чи готелі. Також самі оператори встановлюють точки доступу і або користуються послугами цих компаній для порталу авторизації, або своїми силами розгортають даний сервіс, встановлюючи і адмініструючи супутню інфраструктуру, наприклад, веб і RADIUS сервер.
Постачальники сервісу авторизації діляться на хмарні і коробкові рішення. До перших відносяться такі компанії як Wi-Fi Systems, MyWiFi і Global Hotspot. Для клієнтів цих компаній, наприклад, господаря кафе, надається віддалений доступ в особистий кабінет для моніторингу підключень кінцевих користувачів, і фізично авторизація кінцевих користувачів відбувається на серверах цих постачальників. До другого типу постачальників сервісу відноситься компанія Netams. Їх програмне забезпечення ставиться на серверах клієнтів і управління всім сервісом в руках самих клієнтів.
Сервіс Captive Portal, реалізований на базі роутерів Keenetic, по суті являє собою настройку конфігурації до одного з найстаріших Open-Source-портальних сервісів ChilliSpot , Перша версія якого вийшла ще в 2005 році. Налаштування роутера здійснюється через його адміністративний інтерфейс, доступний за стандартним адресою 192.168.1.1. Перш за все слід провести стандартну настройку доступу в Інтернет через роутер і точки доступу WiFi, після чого вийти на вкладку «Компоненти» і упевнитися, що додаток Captive Portal включено.
Розробники Keenetic не першими серед конкурентів додали підтримку Captive Portal в свої інтернет-центри, але їх реалізації виділяється рядом переваг. Налаштування найбільш популярних в Росії хмарних постачальників сервісу були додані у вигляді готових профілів в веб-інтерфейс.
Кожен з профілів був протестований з боку постачальників і рекомендований для використання. Адміністратора готелю досить вибрати в списку, що випадає свого постачальника авторизації і ввести пару параметрів з особистого кабінету постачальника. Доступно ручна настройка підключення, якщо відсутня профілю будь-якого постачальника.
Оцінять дане зручність ті, хто стикався з великими інструкціями з підключення роутерів інших вендорів, а також самі постачальники, яким для спрощення підключення доводиться готувати як мінімум готові скрипти.
Кожен постачальник сервісу має свої індивідуальні параметри підключення. Тут можна провести аналогію з провідними операторами, які підключають клієнтів по L2TP, або по IPoE, а також по PPPoE.
В налаштуваннях Кинетик враховані всю нюанси в профілях постачальників для максимальної зручності підключення.
Окремо хочеться відзначити, що функція Captive portal працює у всій лінійці інтернет-центрів Keenetic і в планах виробника підтримувати в майбутніх моделях.
Універсальність налаштування інтерфейсів в Keenetic знайшло відображення в зручності застосування Captive Portal. За замовчуванням портал авторизації прив'язаний до сегменту гостьовій мережі Wi-Fi. Гнучкі настройки дротових інтерфейсів дозволяють будь-який порт або групу портів LAN прив'язати до гостьової мережі. Наприклад, в ресторані касовий апарат і відеокамери будуть налаштовані на доступ в мережу без авторизації через основний сегмент, а всі відвідувачі будуть виходити в мережу за допомогою авторизації. І як ніякий інший вендор Keenetic забезпечує надійне резервування підключення через 3G / 4G USB-модеми всіх провідних операторів.
У разі великих приміщень або товстих стін можуть бути проблеми із зоною покриття Wi-Fi. Для цих задач до основного Keenetic підключається додатковий інтернет-центр в режимі точки доступу, який прокидає запити на проходження авторизації до основного Keenetic.
Captive Portal затребуваний в першу чергу ринком малого бізнесу. Для них дуже важливо надавати безперебійну послугу своїм клієнтам. У разі збою системний адміністратор може в будь-який час доби отримати віддалений доступ до адміністрування Keenetic через веб-інтерфейс або за допомогою утиліти на мобільному телефоні. І це працює з сірим IP-адресою. Фірмова хмарна реалізація віддаленого доступу не прив'язана до типу підключення будь то підключення через проводового провайдера або через 3G / 4G модем. У разі останнього підключення в деяких випадках сам оператор не надає білий IP ні за які гроші і рятує тільки функція хмарного віддаленого доступу Keenetic.
Журнал IT-Expert № 11/2017 [ PDF ] [ Підписка на журнал ]