Лайк, если читаешь логи!: запускаем Hotspot 2.0 на сети Wi-Fi в метро / Хабр

Безопасность в облаке

Не редко слышу, что кто-то боится пользоваться облаком Nebula: «А фдрух шпивоны сопрут».

Но никто не жалуется на облачные сервисы AWS. Целые компании держат почту на gmail и yandex. Современные мобильные телефоны теряют свой функционал без привязки к облаку…


Поэтому бояться, что кто-то чего-то сопрёт с Nebula, учитывая, что там хранятся только конфиги вашей сети — как-то глупо.

Нэбула постоянно развивается.

Не забывайте, что Zyxel — компания мирового уровня, которая следит за своей репутацией.

Бесшовный роуминг


В Mikrotik, чтобы настроить контроллер, надо

В остальных заведениях:

1. Покупаем Wi-Fi точку Zyxel с поддержкой Nebula

2. Монтируем точку на потолок/стену.

3. Подключаем к уже имеющемуся маршрутизатору


Новая точка получит уже ранее созданный конфиг.

Ну куда ещё проще? Для сравнения часовая запись вэбинара Романа Козлова как поднять hotspot на Mikrotik.

В первом заведении:

Теперь точка всосёт в себя сгенерированный конфиг и через несколько минут можно будет пользоваться Wi-Fi.


Минимальные настройки выполнены. Остальные разнообразные настройки уже по вашему вкусу и потребностям.

Внедрение hotspot 2.0 на масштабной сети

В процессе запуска необходимо было решить несколько крупных задач.

1. Внесение изменений на оборудовании беспроводной сети

Наши самые большие сети, в метро Москвы и Санкт-Петербурга, построены на оборудовании Cisco, которое поддерживает технологию Hotspot 2.0. Задача настройки всех контроллеров на подвижном составе была, наверное, самой объемной. Предварительно разработанный и протестированный эталонный конфиг контроллера с помощью автоконфигуратора (о нем мы писали в отдельной статье) был применен на все составы.

2. Доработка на стороне внутренней инфраструктуры, в частности на RADIUS-сервереТак как у нас RADIUS-сервер полностью собственной разработки, нам пришлось реализовывать поддержку EAP и внутреннего метода аутентификации.

3. Выбор типа учетных данных и метода аутентификацииВыбор должен не только обеспечить надежную и прозрачную для абонента аутентификацию и авторизацию в сети, но и сохранить работоспособность наших текущих и перспективных моделей монетизации.

Все дело в учетных данных

Учетные данные – это сущность, которая позволяет уникально идентифицировать пользователя. Эти данные должны быть надежно защищены, чтобы злоумышленник не мог перехватить и переиспользовать их. Наличие учетных данных решает проблему MAC-аутентификации, когда можно «прослушать» радио-эфир с помощью сниффера, узнать и подменить MAC-адрес с чужого устройства.

Наиболее распространенными типами учетных данных и методов аутентификации являются:

Сотовые и MVNO операторы, имеющие свои SIM карты, оказываются в привилегированном положении — подходящие для Wi-Fi-сети учетные данные уже в телефоне, надежно защищены и никаких дополнительных действий от клиента не требуется. А что делать другим?

Настройка вручную — это сложный процесс, сильно зависящий от особенностей конкретной ОС. Для абонентов это крайне неудобно. Передача учетных данных через сеть с автоматической настройкой устройства может быть хорошим решением. Этот процесс будем называть провиженингом, и здесь как раз кроется главное ограничение технологии на текущем этапе развития.

Зачем нужна закрытая сеть mt?

Запуск закрытой сети с использованием учетных данных, уникально идентифицирующих устройство или пользователя, обсуждался нами неоднократно. Драйверами запуска являются, в первую очередь, вопросы безопасности. Необходимо исключить возможность подключения к фишинговым точкам с нашим SSID и делать это прозрачно, чтобы от пользователя не требовалось никаких дополнительных действий.

Другая причина запуска сети с авторизацией по учетным данным — тренд на рандомизацию MAC-адресов устройств при подключении к Wi-Fi сетям. Этот тренд все заметнее проявляется на Android-устройствах. Причем, если раньше переменные MAC-адреса были атрибутом недорогих смартфонов (главным образом, китайских) и использовались производителями просто в силу нехватки официально зарезервированных пулов MAC-адресов, то недавно Google официально сообщил о внедрении подобной технологии в ОС Android с целью предотвращения трекинга абонентов.

Это создает препятствия для полноценного использования публичного Wi-Fi в России, так как при каждом входе потребуется повторная идентификация устройства (в соответствии с постановлениями Правительства 758 и 801). Таким образом, MAC-адрес постепенно перестает быть приемлемым средством идентификации устройства в сети.

Инструкция по удалению профиля

Профиль генерируется со сроком действия до 30 ноября 2022 года. По истечении этого срока профиль удаляется автоматически без действий со стороны пользователя. Если возникла необходимость удаления профиля раньше, это можно сделать вручную.

Инструкция по установке профиля

Ссылку с сервисом генерации профилей

Как эта магия возможна?

Сегодня модно называть технологии «Облачными» даже если они к облакам не имеют никакого отношения («камень» в сторону Mikrotik CCR), обесценивая реальную технологию, которую скрывает понятие «облако». Nebula чистой воды контроллер SDN сети, которая предоставляется Вам как услуга (SaaS).

Краткий обзор функций hotspot

В поисках решения указанных проблем мы обратили внимание на технологию Hotspot 2.0, которую развивают в том числе Wi-Fi Alliance и Wireless Broadband Alliance. При первом рассмотрении технология должна закрыть все возникающие потребности — защищенное подключение к проверенному SSID и шифрованное соединение. Ниже приводим сравнение новой парадигмы организации операторских Wi-Fi-сетей и текущего состояния.

Лайк, если читаешь логи!: запускаем Hotspot 2.0 на сети Wi-Fi в метро / Хабр
Сравнение подходов к организации Wi-Fi сетей – до и после внедрения технологии Hotspot 2.0.

Стек Hotspot 2.0 включает в себя три ключевые технологии:

Технология довольно молодая, первый релиз состоялся в конце 2022 года, но развивается достаточно активно. В конце февраля этого года был анонсирован уже

. Стоит заметить, что экосистему Hotspot 2.0 развивает не только Wi-Fi Alliance.

Вряд ли ошибусь, если предположу, что у многих читателей технология Hotspot 2.0 ассоциируется с Offload (выгрузкой трафика) из Wi-Fi сети в мобильную.

Действительно, наибольшее количество внедрений Hotspot 2.0 произошло у мобильных операторов, и первопроходцем здесь является AT&T. Этому есть объяснение — обязательным условием работы мобильной связи является наличие в устройстве физической или виртуальной SIM-карты.

При этом клиентский опыт в операторской Wi-Fi-сети становится сравним (а при некоторых условиях и лучше), чем опыт в мобильной сети. Кейс также применим и для MVNO-операторов, но все зависит от схемы работы с хост-оператором. Для остальных операторов, таких как мы, основной вызов — это вопрос провиженинга устройств и всего, что с этим связано. Попробуем разобраться.

Лицензия на nebula


В нашем контексте хватит и

. При регистрации моих точек так же прилетела лицензия «PRO» до 2022 года.

Лайк, если читаешь логи!: запускаем Hotspot 2.0 на сети Wi-Fi в метро / Хабр

Открытое тестирование

На данный момент Hotspot 2.0 еще не достигла своей зрелости и находится на этапе развития и становления, но мы хотим быть компанией, которая сделает первый шаг в популяризации и внедрении этой новой технологии в России. Для нас, как для оператора популярного городского сервиса, это способ повысить безопасность публичного Wi-Fi.

Про безопасность

Провиженинг сетей Wi-Fi и учетных данных с помощью профилей iOS — это только малая часть функционала MDM (Mobile Device Management). В руках злоумышленников функционал может привести к негативным последствиям для пользователей, вплоть до полного блокирования устройства или управления им третьими лицами.

В частности, через профиль могут быть добавлены ограничения по установке/удалению приложений, злоумышленник может управлять установкой приложений, может направить трафик пользователя через свой прокси и т.д. Поэтому процесс установки профиля требует повышенного внимания пользователя —

необходимо убедиться, что профиль выпустила доверенная компания.

Сейчас единственным прозрачным способом провиженинга iOS-устройств для работы в Hotspot 2.0-сетях является установка профилей. Мы хотели бы дать несколько рекомендаций по установке профилей, которые будут полезны не только в контексте настройки Wi-Fi:

Лайк, если читаешь логи!: запускаем Hotspot 2.0 на сети Wi-Fi в метро / Хабр
Пример валидного и невалидного профиляЛайк, если читаешь логи!: запускаем Hotspot 2.0 на сети Wi-Fi в метро / Хабр
Пример профиля с различными ограничениями функционала мобильного устройства

Провиженинг


Исследуем вопрос проникновения стека технологий Hotspot на клиентских устройствах. Для этого воспользуемся

от Wi-Fi Alliance, где представлены результаты сертификации устройств. Сертификация — процесс добровольный, поэтому результаты есть не для всех устройств. Так, например, сертификацию прошло всего несколько устройств от Apple — iPhone 3, iPhone 4, iPad.

Таким образом, смотрим на результаты сертификации, за исключением iOS устройств, за период с 2022 (публикация первого релиза). Визуализируем полученную статистику в виде диаграммы ниже. Вывод — только каждое пятое не-iOS устройство поддерживает первый релиз (802.11u), каждое десятое — имеет стандартизованный интерфейс провиженинга. Такая ситуация осложняет массовое применение.

Лайк, если читаешь логи!: запускаем Hotspot 2.0 на сети Wi-Fi в метро / Хабр
Проникновение Hotspot 2.0 на клиентских устройствах (за исключением iOS)

С технической точки зрения результат провиженинга — это наличие на устройстве валидных учетных данных и других необходимых настроек для определенного SSID или Wi-Fi-сети. Второй релиз стандартизировал структуру представления настроек сети в виде XML-документов и механизмы их передачи на устройства.

Набор настроек сети, содержащий, в частности, учетные данные, называется сетевым профилем (Profile). Первоначально похожее решение было предложено Apple, но в итоге было стандартизировано его развитие со значительными изменениями. Ниже на скриншоте приведен пример профиля для iOS.

Лайк, если читаешь логи!: запускаем Hotspot 2.0 на сети Wi-Fi в метро / Хабр
Пример профиля для iOS

Как выглядит процесс провиженинга для пользователя? На рынке есть несколько коммерческих решений OSU, — GlobalReach Odyssys, Ruckus CloudPath, Aruba ClearPass, — поэтому мы можем посмотреть процесс на примере одного из них. По ссылке приведены скриншоты для решения от GlobalReach Odyssys.

Здесь установка профиля показана с максимальным количеством шагов со стороны пользователя, например, когда помимо смартфона есть еще и Apple Watch (да, на часы можно поставить профиль и они будут подключаться к Wi-Fi). Web-провиженинг iOS-устройств возможен только через браузер Safari, это требование ОС.

В целом алгоритм настройки сети одинаков для всех устройств:


С нашей точки зрения, и, думаю, аудитория с этим согласится, web-провиженинг требует слишком много действий от пользователя, а сам процесс не прозрачен. Ни у кого не возникает вопрос, какой пароль необходимо ввести в форме?

Использование приложения сокращает необходимость действий до минимума, до одного-двух. Но, к сожалению, технология активно движется только в сторону развития и стандартизации web-провиженинга, протокола управления мобильными устройствами (OAM DM), тогда как возможность использования приложения никак в стандарте не отражена.

Эволюция hotspot 2.0

На данный момент выпущено три релиза Hotspot с нетривиальными обозначениями 1, 2, 3. А технология все еще называется 2.0. На самом деле Hotspot 2.0 это набор стандартов, определяющий новый подход к организации операторских Wi-Fi-сетей, когда опыт пользования такими сетями сравним с использованием мобильной сети. А в рамках релизов (1, 2, 3) формируются сами стандарты, на соответствие которым проводится сертификация устройств.

Так, основная «фишка» первого релиза и по совместительству база технологии — это стандарт IEEE 802.11u. Поддержка 802.11u необходима как на стороне инфраструктуры Wi-Fi-сети (точек доступа и контроллеров), так и на стороне клиентских устройств. В ситуации с «железом» особых проблем не наблюдается: все больше и больше вендоров поддерживает стандарт, т.к. на более-менее современных чипах реализация протокола программная. А вот ситуацию с клиентскими устройствами исследуем чуть позже.

Второй релиз стандартизирует процесс провиженинга и новую специфическую инфраструктуру — Online Signup Server (OSU). Это сервер, который осуществляет формирование и передачу настроек сети на клиентские устройства.

Недавно опубликованный Release 3 развивает инструменты провиженинга. При беглом просмотре я не заметил новых «киллер-фич», да и под рукой нет пока устройств и инфраструктуры, чтобы пощупать его на практике. Если увидим интерес читателей, можем попробовать более подробно рассмотреть функции и отличия каждого релиза в другой статье.

Промежуточный итог


Суммируя все вышеизложенное, подводим краткие итоги обзора и текущего состояния технологии:

Учитывая значительные преимущества технологии, а также текущий статус ее развития, мы решили внедрить Hotspot 2.0 на своей сети.

Заключение

По сути часть работы, которую должен выполнить сетевой администратор по настройке и обслуживанию оборудования, выполнила компания Zyxel и предоставляет как услугу. В нашем случае мы оплатили только стоимость оборудования.Настройка железок в связке с Nebula очень простая. Не надо 100500 параметров забивать, чтобы включить настоящий бесшовный роуминг.

С ростом потребностей данную инфраструктуру можно легко развивать. Например, если у Вас появится потребность фильтровать трафик, то Nebula для Wi-Fi можно всегда заменить на Zyxel ZyWALLUSG серии.

Задать вопросы по статье и обсудить это и другое железо от Zyxel предлагаю на канале в Телеграм @zyxelru. Кстати, после выхода предыдущей моей статьи на канале появились официальные представители «Zyxel Россия».

Если Вы знаете другие быстрые и дешёвые методы разворачивания HotSpot — поделитесь в комментариях.

Похожее:  Быстрый, простой и рабочий способ обхода Captive Portal (hotspot с авторизацией на web-интерфейсе) -

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *