Как сделать общественную точку доступа
Бесплатный доступ в Интернет через WiFi – это сегодня не просто модная фича для малого бизнеса, а признак уважения, которое компания оказывает посетителям и клиентам, один из способов создать для них атмосферу комфорта, будь то офис, ресторан или мастерская.
Наличие беспроводного Интернета удобно для всех – и сотрудников, и посетителей. Это привлекает новых клиентов. Более того, растет популярность интернет-сервиса «Поиск бесплатных точек WiFi в городе», через который может приходить дополнительный клиент. А привлечь внимание нового клиента – это уже 50% успеха для развития бизнеса.
Однако «пришла беда откуда не ждали». Просто поставить Wi-Fi-роутер и включить его без пароля и всякой защиты – это дыра в безопасности. Можно не сомневаться: ею непременно воспользуются в лучшем случае шутники, желающие полюбопытствовать, какие документы лежат во внутренней сети беспечной компании. Ждать придется недолго, если судить по комментариям в соцсетях.
Но сейчас даже не это главное. Само государство обратило внимание на данный сегмент рынка и своевременно выступило в роли регулятора, издав в течение последних пяти лет ряд законодательных актов, накладывающих серьезные требования на компании, готовые предоставить клиентам услугу бесплатного Wi-Fi-доступа.
Закон суров, но справедлив
В 2014 году с целью пресечения попыток использования публичных сетей Wi-Fi для совершения преступлений, разглашения охраняемой законом тайны, распространения публичных призывов к терроризму, экстремистских материалов, порнографии был принят Федеральный закон № 97-ФЗ «Об информации, информационных технологиях и о защите информации», а также ряд постановлений Правительства РФ. Согласно им, на владельцев точек бесплатного Wi-Fi с коллективным доступом в Интернет возложена обязанность идентифицировать личность пользователей по номеру телефона или паспортным данным, а также обеспечить хранение информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей Сети и информацию об этих пользователях в течение шести месяцев с момента окончания таких действий.
В случае несоблюдения закона виновные подлежат административной ответственности по ст. 13.30 КоАП РФ. Так, в 2017 году размер штрафа, налагаемого на граждан за предоставление Wi-Fi-доступа в Интернет без идентификации, составляет от 2 до 5 тыс. рублей; на должностных лиц – от 5 до 50 тыс. рублей; на юридических лиц – от 100 до 200 тыс. рублей. За отсутствие авторизации владельцев заведений ждут штрафы в размере от 50 до 300 тыс. рублей в соответствии с ФЗ «О противодействии экстремистской деятельности» и «О защите детей от информации, причиняющей вред их развитию и здоровью».
Незнание закона не освобождает от ответственности
Перечислять все требования российских законов к организации публичных Wi-Fi-сетей в малом бизнесе непросто. Документ разработан Минкомсвязью РФ в сотрудничестве с МВД, ФСБ и Минэкономразвитием. Его положения касаются организации общественных точек доступа Wi-Fi в кафе, барах, ресторанах, библиотеках, школах, парках и других общественных местах.
Главное условие организации бесплатного Wi-Fi – обязательная авторизация пользователей. Законодательство также требует сохранения журнала авторизированных Wi-Fi-пользователей в течение 6 месяцев.
Согласно российскому законодательству предоставление Wi-Fi-сети возможно любым из трех способов: 1) созданием компанией собственной точки доступа с заключением соглашения с оператором связи об идентификации пользователей; 2) использованием сети оператора, отвечающего за эксплуатацию здания или территории, на которой располагается компания; 3) подключением к внешней, чужой сети Wi-Fi.
Порядок авторизации может быть осуществлен также тремя способами: 1) путем ввода персональных данных с указанием номера паспорта; 2) по номеру мобильного телефона; 3) по логину на портале госуслуг.
Но есть и приятная новость: российский закон не запрещает проводить авторизацию пользователей на странице, содержащей рекламу. Для бизнеса оставлена креативная составляющая, позволяющая предложить клиенту свой эксклюзив. При прохождении регистрации внимание пользователя привлечено ко всему, что он видит на странице, – оптимальная ситуация для подачи рекламного контента с точки зрения SMM.
Captive Portal
Для предупреждения анонимного доступа в Интернет злоумышленников, мошенников или экстремистов доступ к точкам Wi-Fi в общественных местах осуществляется через специально созданную страницу авторизации, которая открывается при подключении к общедоступной Wi-Fi-сети. Ее принято называть Captive Portal.
Сервис авторизации необязательно должен быть ограничен только вводом данных, предписанных законом. Его можно также модернизировать для решения дополнительных задач: обеспечения мультиязычности с использованием шаблонов, использования в качестве дополнительных способов авторизации. Другие разрешенные законом варианты: по обратному телефонному звонку, по ваучерам, через социальные сети. Здесь же можно задать ограничения времени выделяемых сессий и предоставляемого трафика, организовать социологический опрос, осуществить взимание платы за доступ и многое другое.
Принцип работы Captive Portal прост: при попытке зайти на любой сайт с устройства, MAC-адрес которого незнаком для Captive Portal, полученный http-запрос заменяется и пользователь перенаправляется на стартовую страницу портала.
Правильное построение Captive Portal очень важно и с точки зрения безопасности. Многие такие системы уязвимы к атакам Man-in-the-Middle, поэтому вопросам их правильной настройки следует уделять особое внимание.
Для того чтобы понять о каких переменах идет речь, попробуем сфокусироваться на событиях после 2022 года и их масштабах с точки зрения кибербезопасности.
Настройка Captive Portal на роутерах Keenetic
В России десятки компаний специализируются на услуге предоставления сервиса авторизации, например, в кафе или гостинице. Также сами операторы устанавливают точки доступа и либо пользуются услугами этих компаний для портала авторизации, либо своими силами развертывают данный сервис, устанавливая и администрируя сопутствующую инфраструктуру, к примеру, веб и RADIUS сервер.
Поставщики сервиса авторизации делятся на облачные и коробочные решения. К первым относятся такие компании как Wi-Fi Systems, MyWiFi и Global Hotspot. Для клиентов этих компаний, к примеру, хозяина кафе, предоставляется удаленный доступ в личный кабинет для мониторинга подключений конечных пользователей, и физически авторизация конечных пользователей происходит на серверах этих поставщиков. Ко второму типу поставщиков сервиса относится компания Netams. Их программное обеспечение ставится на серверах клиентов и управление всем сервисом в руках самих клиентов.
Cервис Captive Portal, реализованный на базе роутеров Keenetic, по сути представляет собой настройку конфигурации к одному из старейших Open-Source-портальных сервисов ChilliSpot, первая версия которого вышла еще в 2005 году. Настройка роутера осуществляется через его административный интерфейс, доступный по стандартному адресу 192.168.1.1. Прежде всего следует провести стандартную настройку доступа в Интернет через роутер и точки доступа WiFi, после чего выйти на вкладку «Компоненты» и удостовериться, что приложение Captive Portal включено.
Разработчики Keenetic не первыми среди конкурентов добавили поддержку Captive Portal в свои интернет-центры, но их реализации выделяется рядом преимуществ. Настройки наиболее популярных в России облачных поставщиков сервиса были добавлены в виде готовых профилей в веб-интерфейс.
Каждый из профилей был протестирован со стороны поставщиков и рекомендован для использования. Администратору гостиницы достаточно выбрать в выпадающем списке своего поставщика авторизации и ввести пару параметров из личного кабинета поставщика. Доступно ручная настройка подключения, если отсутствует профиля какого-либо поставщика.
Оценят данное удобство те, кто сталкивался с обширными инструкциями по подключению роутеров других вендоров, а также сами поставщики, которым для упрощения подключения приходится готовить как минимум готовые скрипты.
Каждый поставщик сервиса имеет свои индивидуальные параметры подключения. Здесь можно провести аналогию с проводными операторами, которые подключают клиентов по L2TP, либо по IPoE, а также по PPPoE.
В настройках Кинетик учтены всю нюансы в профилях поставщиков для максимального удобства подключения.
Отдельно хочется отметить, что функция Captive portal работает во всей линейке интернет-центров Keenetic и в планах производителя поддерживать в будущих моделях.
Универсальность настройки интерфейсов в Keenetic нашло отражение в удобстве применения Captive Portal. По умолчанию портал авторизации привязан к сегменту гостевой сети Wi-Fi. Гибкие настройки проводных интерфейсов позволяют любой порт или группу портов LAN привязать к гостевой сети. Например, в ресторане кассовый аппарат и видеокамеры будут настроены на доступ в сеть без авторизации через основной сегмент, а все посетители будут выходить в сеть посредством авторизации. И как никакой другой вендор Keenetic обеспечивает надежное резервирование подключения через 3G/4G USB-модемы всех ведущих операторов.
В случае больших помещений или толстых стен могут быть проблемы с зоной покрытия Wi-Fi. Для этих задач к основному Keenetic подключается дополнительный интернет-центр в режиме точки доступа, который пробрасывает запросы на прохождение авторизации к основному Keenetic.
Captive Portal востребован в первую очередь рынком малого бизнеса. Для них очень важно предоставлять бесперебойную услугу своим клиентам. В случае сбоя системный администратор может в любое время суток получить удаленный доступ к администрированию Keenetic через веб-интерфейс или с помощью утилиты на мобильном телефоне. И это работает с серым IP-адресом. Фирменная облачная реализация удаленного доступа не привязана к типу подключения будь то подключения через проводного провайдера либо через 3G/4G модем. В случае последнего подключения в некоторых случаях сам оператор не предоставляет белый IP ни за какие деньги и спасает только функция облачного удаленного доступа Keenetic.Опубликовано 12.12.2017