Вход в личный кабинет Что такое авторизация wi-fi
У каждого смартфона, планшета и любого современного девайса, способного преобразовывать, принимать и передавать данные, есть уникальный идентификатор, MAC-адрес. Если, например, при посещении общественного места для подключения к беспроводной сети требуется авторизация вай-фай, нужно ввести номер мобильного телефона в соответствующую форму. Система свяжет номер телефона с MAC-адресом мобильного устройства и откроет доступ к Сети.
Не имеет значения, услугами какого оператора пользуется человек (например, «Ростелеком», МТС, «Билайн», «Мегафон»), СМС-оповещения будут приходить в любом случае.
Почему?
😪Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.
Eap-fast
EAP-FAST (Flexible Authentication by Secure Tunneling) безопасный метод, разработанный компанией Cisco. Учетные данные для проверки подлинности защищаются путем передачи зашифрованных учетных данных доступа (PAC) между AS и клиентом. PAC- это форма общего секрета, который генерируется AS и используется для взаимной аутентификации. EAP-FAST- это метод состоящий из трех последовательных фаз:
- Фаза 0: PAC создается или подготавливается и устанавливается на клиенте.
- Фаза 1: после того, как клиент и AS аутентифицировали друг друга обсуждают туннель безопасности транспортного уровня (TLS).
- Фаза 2: конечный пользователь может быть аутентифицирован через туннель TLS для дополнительной безопасности.
Обратите внимание, что в EAP-FAST происходят два отдельных процесса аутентификации-один между AS и клиентом, а другой с конечным пользователем. Они происходят вложенным образом, как внешняя аутентификация (вне туннеля TLS) и внутренняя аутентификация (внутри туннеля TLS).
Данный метод, основанный на EAP, требует наличие сервера RADIUS. Данный сервер RADIUS должен работать как сервер EAP-FAST, чтобы генерировать пакеты, по одному на пользователя.
Eap-tls
PEAP использует цифровой сертификат на AS в качестве надежного метода для аутентификации сервера RADIUS. Получить и установить сертификат на одном сервере несложно, но клиентам остается идентифицировать себя другими способами. Безопасность транспортного уровня EAP (EAP-TLS) усиливает защиту, требуя сертификаты на AS и на каждом клиентском устройстве.
С помощью EAP-TLS AS и клиент обмениваются сертификатами и могут аутентифицировать друг друга. После этого строится туннель TLS, чтобы можно было безопасно обмениваться материалами ключа шифрования.
EAP-TLS считается наиболее безопасным методом беспроводной аутентификации, однако при его реализации возникают сложности. Наряду с AS, каждый беспроводной клиент должен получить и установить сертификат. Установка сертификатов вручную на сотни или тысячи клиентов может оказаться непрактичной.
Вместо этого вам нужно будет внедрить инфраструктуру открытых ключей (PKI), которая могла бы безопасно и эффективно предоставлять сертификаты и отзывать их, когда клиент или пользователь больше не будет иметь доступа к сети. Это обычно включает в себя создание собственного центра сертификации или построение доверительных отношений со сторонним центром сертификации, который может предоставлять сертификаты вашим клиентам.
Wi-fi-авторизация: обзор поставщиков сервиса для интернет-провайдеров
Давно не секрет, что со вступлением в силу постановления Правительства №758 от 31 июля 2022г. и №801 от 12 августа 2022 г. на публичных WI-FI сетях должна быть реализована процедура авторизации всех пользователей. При этом, согласно новым поправкам в КоАП РФ, бремя ответственности за соблюдение закона ложится на Интернет-провайдеров, которые и обязаны проводить подобную идентификацию. Вплоть до июня 2022 г. ситуация с анонимным Wi-Fi и штрафами за него была ясна не слишком хорошо, пока с проверками публичных заведений в Москве не прошел Роскомнадзор. “Наказывать рублем” недобросовестных владельцев хотспотов власти начнут уже в ближайшее время: Минкомсвязи предусмотрел штрафы от десятков до сотен тысяч рублей.
Вопрос необходимости предоставления заведениям Wi-Fi-авторизации уже даже не встает: сказали “нужно”, значит нужно делать. Загвоздка как раз в другом: как оператору связи на обязательной услуге получить дополнительные выгоды? Как не просто соблюсти закон, а качественно расширить спектр предоставляемых сервисов клиентам?
Как выяснилось, одно лишь словосочетание “Wi-Fi-авторизация” несет в себе массу преимуществ для провайдеров: дополнительный источник дохода; повышение лояльности клиентов, ведь для них это такая же головная боль, а искать поставщика отдельного сервиса куда дольше и выматывающе, чем принять подобное предложение от собственного Интернет-провайдера. Помимо всего прочего, существующие игроки на рынке Wi-Fi-авторизации предлагают не только эту стандартную процедуру, но и массу привлекательных маркетинговых функций, с помощью которых уже клиенты провайдеров, владельцы заведений, могут эффективно взаимодействовать с гостями.
Выходит, один качественный сервис удовлетворяет потребности всех вовлеченных в проблему сторон:
- Интернет-провайдер соблюдает закон и увеличивает ARPU.
- Владелец заведения соблюдает закон, изучает целевую аудиторию с помощью Wi-Fi, продвигает свои же продукты/услуги на том же Wi-Fi (об этом чуть ниже) и, как следствие, повышает доход: дает предложения релевантные спросу гостей.
- Гости заведения получают доступ к бесплатному Wi-Fi. Быстро и без лишних телодвижений, если логика сервиса грамотно выстроена.
- Государство успешно реализует антитеррористические меры, контролируя общедоступные Wi-Fi сети.
Результат – все максимально довольны.
Интернет-провайдеру куда выгоднее найти поставщика с уже рабочим сервисом авторизации и зарабатывать на нем, чем тратить время и ресурсы на разработку собственного решения.
Переходим к следующему вопросу: как грамотно выбрать сервис авторизации, который будет нравиться клиентам провайдера и за который они захотят платить?
По запросу “Wi-Fi-авторизация” в поисковике Google отображается 470 000 результатов. На каком остановиться? На сегодняшний день подобную услугу предлагают не одна, не две, а сотни компаний, от небольших стартапов (MyWiFi, Town WiFi, WiFiNow, Амаркет и т.д.) до крупных операторов связи. Предлагаю рассмотреть 5 ключевых поставщиков сервиса: Hot WiFi, Clever WiFi, Netgo WiFi, WiFly, Smart WiFi.
На сайте Clever WiFi мы нашли отличную аналитическую таблицу сравнения компании с основными конкурентами. Взяв ее за основу, решили актуализировать данные и несколько модифицировали пункты сравнения, добавили других конкурентов.
Казалось бы, решение WiFly довольно продвинутое, и компания представлена на рынке более семи лет. Почему тогда они единственные, кто не предлагает авторизацию пользователей через социальные сети? Ответ на вопрос дал непосредственно Генеральный директор WiFly Сергей Несмачный. По его словам, есть, как минимум, три причины для того, чтобы этого НЕ делать:
- Идентификация пользователей через социальные сети не отвечает требованиям действующего законодательства РФ, так как не может содержать однозначно достоверные сведения о ФИО человека, подтверждаемые удостоверением личности. Другими словами, это абсолютно нелегитимный способ. В то время как авторизация по номеру телефона означает, что представители власти могут запросить все данные о пользователе у оператора связи, который зарегистрировал СИМ-карту данному человеку.
- Принудительная публикация постов в обмен на бесплатный Интернет может снизить лояльность гостей заведения, которые не желают распространяться о текущем месте их пребывания или засорять ленту новостей рекламными предложениями. Альтернативой подобным постам у WiFly служат 2 инструмента: виджеты социальных сетей с предложением подписаться на страницу заведения, поставить “лайк” на те самые “промо-страницы”, которые упоминались выше. То есть пользователь точно так же увидит бренд в соц. сетях, сможет подписаться на его новости, просмотрит спец. предложение или анонс новинки, но сделано это будет на добровольных началах.
- Авторизация через соц. сети подразумевают, что эти сайты уже открыты сразу в момент подключения к Wi-Fi. Иными словами, пользователь может пользоваться соц.сетями, будучи не идентифицированным, а это уже определенная “дырка” в самом механизме авторизации.
На что еще стоит обратить внимание при выборе поставщика сервиса авторизации? Техническая поддержка. Очевидно, что оператору связи более чем хватает текущих задач, и важно, чтобы новая услуга не добавляла головной боли, а напротив, снимала ее. Идеально, если помогают с подключением клиентов-заведений и гарантируют поддержку 24/7.
Организация ценовой политики провайдера и поставщика также важна. Речь не о стоимости услуги, нет. Речь о том, как организован процесс тарификации и провайдера, и его клиентов. Если компания-поставщик авторизации позиционирует себя как ISP friendly и имеет встроенный в систему биллинг – честь ему и хвала. Что может быть удобнее, чем автоматизированный процесс расчетов, возможность создавать комплексные тарифы и управлять ими прямо из Личного кабинета? Однако на сегодняшний день похвастаться готовым биллинговым решением ни один из лидеров рынка Wi-Fi авторизации не может. При этом WiFly, как видно из таблицы, находится в стадии интегрирования биллинга от компании Rentsoft в свою систему.
Возвращаемся к коммерческому аспекту Wi-Fi-авторизации и объясняем, как сами заведения могут на нем зарабатывать. Есть два варианта: размещая баннеры в сети от сторонних рекламодателей и привлекая больше посетителей, повышая их лояльность, т. е. маркетинг в чистом виде.
Чтобы не быть голословными, переходим к реальным кейсам.
Hot WiFi – 4 года работы на рынке. В зависимости от запросов клиента подстраивают функционал сервиса. В Hard Rock Cafe, например, за 4 месяца гости рассказали о заведении 823 116 друзьям в социальных сетях, в “Обед Буфет” производится эффективный сбор обратной связи от гостей заведения (в среднем 26 отзывов в день). Информация взята с их сайта.
Более подробно рассмотрим кейс компании WiFly для клиента в Москве – сети бургерных Аркадия Новикова #FАRШ. Задача Интернет-провайдера – обеспечить стабильно работающую авторизацию пользователей на Wi-Fi.
Задачи клиента:
- Повысить вовлеченность и количество подписчиков в Facebook и Instagram.
- Регулярно оповещать гостей ресторанов о проходящих акциях, конкурсах, повышать число участников конкурсов.
Решение:
- WiFly запустил в #FАRШ авторизацию через звонок пользователей на бесплатный номер 8-800 и через СМС.
- Брендированная страница, перенаправление на социальные сети после пройденной идентификации с возможностью моментально подписаться на рассылку заведения и поставить “лайк”.
- Промо-страницы, они же landing pages, которые отображаются пользователям при подключении к Wi-Fi, анонсируют информационные сообщения и стимулируют совершить целевое действие – заказ блюда/участие в конкурсе.
Результат:*
- На момент начала запуска сервиса в августе 2022 г. количество подписчиков страницы #FАRШ в Facebook составляло менее одной тысячи человек. До февраля 2022 г. оно выросло в пять раз, до 5140 человек.
- В Instagram ситуация еще более положительная: с августа по февраль количество подписчиков профиля #FАRШ увеличилось в два раза с 15 до 29 тысяч человек.
- Благодаря анонсированию конкурса #явыбираюfarш, в декабре с помощью авторизации от WiFly, коэффициент вовлеченности пользователей в контент (Engagement Rate – ER) выросла в 3,7 раза в Facebook и в 2,5 раза в Instagram.
- Проведен анализ целевой аудитории, которая пользуется гостевым Wi-Fi. Из представленных ниже диаграмм видим, что преобладающие гости сети бургерных – молодые люди от 18 до 34 лет и девушки от 18 до 24 лет. Полезная информация для маркетологов заведения.
Таким образом, кейс WiFly и #FАRШ можно назвать более чем успешным.
* Информация предоставлена уполномоченным представителем сети ресторанов.
Резюмируем: при правильном использовании сервиса авторизации Интернет-провайдер повышает и собственный доход, и доход клиента.
Признаемся, в статье отражены не все аспекты Wi-Fi-авторизации и “подводные камни”, ибо объем текста ограничен. И существует еще немало спорных вопросов о сервисе, проблем и их решений. Поэтому Rentsoft организует вебинар для Интернет-провайдеров с целью досконально разобрать преимущества и недостатки услуги, ответить на все интересующие вопросы. Дата его проведения – 21 февраля в 15:00 по московскому времени.
Wpa и wpa2
WPA — второе поколение, пришедшее на смену WEP. Расшифровывается как Wi-Fi Protected Access. Качественно иной уровень защиты благодаря принятию во внимание ошибок WEP. Длина пароля — произвольная, от 8 до 63 байт, что сильно затрудняет его подбор (сравните с 3, 6 и 15 байтами в WEP).
Стандарт поддерживает различные алгоритмы шифрования передаваемых данных после рукопожатия: TKIP и CCMP. Первый — нечто вроде мостика между WEP и WPA, который был придуман на то время, пока IEEE были заняты созданием полноценного алгоритма CCMP. TKIP так же, как и WEP, страдает от некоторых типов атак, и в целом не безопасен.
Одна из занятных особенностей TKIP — в возможности так называемой Michael-атаки. Для быстрого залатывания некоторых особо критичных дыр в WEP в TKIP было введено правило, что точка доступа обязана блокировать все коммуникации через себя (то есть «засыпать»)
на 60 секунд, если обнаруживается атака на подбор ключа (описана во второй части). Michael-атака — простая передача «испорченных» пакетов для полного отключения всей сети. Причём в отличии от обычного DDoS тут достаточно всего двух (двух) пакетов для гарантированного выведения сети из строя на одну минуту.
WPA отличается от WEP и тем, что шифрует данные каждого клиента по отдельности. После рукопожатия генерируется временный ключ — PTK — который используется для кодирования передачи этого клиента, но никакого другого. Поэтому даже если вы проникли в сеть, то прочитать пакеты других клиентов вы сможете только, когда перехватите их рукопожатия — каждого по отдельности. Демонстрация этого с помощью Wireshark будет в третьей части.
Кроме разных алгоритмов шифрования, WPA(2) поддерживают два разных режима начальной аутентификации (проверки пароля для доступа клиента к сети) — PSK и Enterprise. PSK (иногда его называют WPA Personal) — вход по единому паролю, который вводит клиент при подключении.
Это просто и удобно, но в случае больших компаний может быть проблемой — допустим, у вас ушёл сотрудник и чтобы он не мог больше получить доступ к сети приходится применять способ из «Людей в чёрном» менять пароль для всей сети и уведомлять об этом других сотрудников.
Enterprise снимает эту проблему благодаря наличию множества ключей, хранящихся на отдельном сервере — RADIUS. Кроме того, Enterprise стандартизирует сам процесс аутентификации в протоколе EAP (Extensible Authentication Protocol), что позволяет написать собственный велосипед алгоритм. Короче, одни плюшки для больших дядей.
В этом цикле будет подробно разобрана атака на WPA(2)-PSK, так как Enterprise — это совсем другая история, так как используется только в больших компаниях.
Wps/qss
WPS, он же Qikk aSSQSS — интересная технология, которая позволяет нам вообще не думать о пароле, а просто добавить воды нажать на кнопку и тут же подключиться к сети. По сути это «легальный» метод обхода защиты по паролю вообще, но удивительно то, что он получил широкое распространение при очень серьёзном просчёте в самой системе допуска — это спустя годы после печального опыта с WEP.
WPS позволяет клиенту подключиться к точке доступа по 8-символьному коду, состоящему из цифр (PIN). Однако из-за ошибки в стандарте нужно угадать лишь 4 из них. Таким образом, достаточно всего-навсего 10000 попыток подбора и вне зависимости от сложности пароля для доступа к беспроводной сети вы автоматически получаете этот доступ, а с ним в придачу — и этот самый пароль как он есть.
Учитывая, что это взаимодействие происходит до любых проверок безопасности, в секунду можно отправлять по 10-50 запросов на вход через WPS, и через 3-15 часов (иногда больше, иногда меньше) вы получите ключи от рая.
Когда данная уязвимость была раскрыта производители стали внедрять ограничение на число попыток входа (rate limit), после превышения которого точка доступа автоматически на какое-то время отключает WPS — однако до сих пор таких устройств не больше половины от уже выпущенных без этой защиты.
Хочу ещё раз обратить ваше внимание, что при включенном WPS ваш пароль будет неминуемо раскрыт вне зависимости от своей сложности. Поэтому если вам вообще нужен WPS — включайте его только когда производится подключение к сети, а в остальное время держите этот бекдор выключенным.
Атака на WPS будет рассмотрена во второй части.
Авторизация и её способы
Каждый бизнесмен должен знать, что такое авторизация вай-фай и когда она требуется на законодательном уровне. Существует она для того, чтобы органы государственной безопасности могли контролировать подключения к сети и определять мошенников, бандитов и террористов.
Так как любой номер телефона в России привязан к паспорту, то такая информация более чем полностью идентифицирует человека. В соответствии с законом она хранится на серверах провайдера до одного года.
Сразу же после того, как заведения начали следовать законам и проводить авторизацию Wi-Fi, они обнаружили, что им это только на руку, ведь они могут рекламировать себя на первой странице авторизации, сохранять какие-то данные о посетителях, проводить опросы и многое другое. В связи с этим были придуманы следующие методы авторизации:
Безопасность wi-fi-соединения
Безопасность всех беспроводных соединений в публичных местах под большим вопросом. Имеется даже список взломанных сетей, с указанием IP адресов, физических адресов и паролей к ним. Если такой список есть, то взломанных еще больше. К тому же, не считая авторизации, по которой вас отследят, настройка беспроводной сети несильно отличается от домашнего варианта.
Фактически, здесь все зависит от того, кто настраивал точку доступа и какие задачи перед ним стояли. Если это просто делал один из сотрудников, то степень безопасности будет невысокая.
Будем честны, мало кто обращается для настройки пары роутеров к специалисту, который попросит за это приличное количество денег. Все считают, что справятся сами. Вот только настроить домашнюю сеть и публичную – это две разные вещи.
При самостоятельной настройке пользователи редко заходят дальше того момента, как у них начал работать вайфай. Они не обновляют роутеры, не закрывают возможность подключения из интернета, не ставят сложные пароли. Редко кто занимается настройкой фаерволла, блокировкой возможных проникновений, а также заботой об уязвимостях данной конкретной модели.
И еще много разных всяких «не». Вот и выходит, что часто такие самостоятельно настроенные сети взламываются, чуть ли не первым способом, найденным в интернете.
Простой человек не взломает их с первой попытки, но если есть опыт, то нет ничего сложного. Часть сетей ломают из любопытства, а не из злого умыла, но вам от этого не легче. Поэтому не стоит использовать публичные сети для передачи какой-то важной или конфиденциальной информации.
Постарайтесь не входить в банковские приложения и на другие подобные площадки.
В каких местах бывают публичные сети
Общий беспроводные сети располагаются в общественных местах, в которых человек проводит достаточно много времени. Это могут быть следующие заведения:
- торговый центр;
- гостиница;
- на вокзале;
- в аэропорту.
Также они находятся в местах, где связь с мобильной сетью плохая и вайфай становится единственным способом оставаться на связи. Таким мест не так уж и много, это Московский метрополитен и метро в СПб.
РЖД начало устанавливать точки доступа в поездах. Они часто проходят по тем местах, где нет мобильных вышек, так что это хорошее решение. Это относится и к поезду Ласточка, который быстро меняет свое положение, так что мобильная связь работает со сбоями из-за постоянной смены подключения к вышкам.
Не в каждом составе есть точка доступа, интернет доступен только в поездах со специальным знаком-логотипом Wi-Fi «Lastochka.Center».
Возможности сервиса
Среди всех вышеперечисленных возможностей выделяются доступные из личного кабинета:
Таким образом, были рассмотрены вопросы авторизации вай-фай: как авторизовать вай-фай, какие способы входа существуют. Говоря кратко, это необходимый, но очень полезный инструмент идентификации людей и продвижения своего бизнеса, обойти который будет нельзя.
Вход в сеть с помощью смс
Использовать этот метод несложно, но для начала нужно подключить услугу у провайдера. Возможно также настроить и собственную систему на своем оборудовании. Для этого понадобится маршрутизатор с поддержкой SMS, знание таких технологий, как ОС Linux, СУБД MySQL, сервер Apache.
Страница аутентификации сети, на которую переходит человек первым делом, может содержать рекламу и другие предложения, опросы, скидки, предоставляющиеся по подписке на новости или на группу в социальных сетях. Это дополнительный маркетинговый элемент, стоящий использования. Для всей системы понадобится:
- Специальный контроллер или роутер Mikrotik или Кенетик, который не входит в интернет и требует авторизации;
- Подключение сервиса идентификации СМС и пополнение счета на нем;
- Подготовка начальной страницы.
Если нет желания передавать персональные данные
Для авторизации по смс, звонку и электронной почте выход придуман давно. Есть сервисы, которые позволяют создать почту на один раз или арендовать номер на какое-то время. Таким образом, вы скроете на время свои личные данные, но удлините себе процесс входа в сеть.
Чтобы вообще не зависеть от публичных сетей, лучше купить мобильный тариф с большим запасом гигабайт. Там, где есть мобильная связь, он вас спасет. В остальных местах придется использовать публичные сети.
Вывод из всего это можно сделать такой: лучше пользуйтесь мобильной связью и домашними сетями, потому что неизвестно кто и как настраивал беспроводную сеть.
Авторизация осуществляется или сторонними сервисами или провайдерами, так что, за свои данные можете быть спокойны, они вряд ли куда-то уйдут. Это не помешает им самим присылать вам акции и другие рекламные предложения.
Идентификация по номеру телефона
Данный способ идентификации является наиболее распространённым, он не требует согласия по работе с персональными данными от пользователя Wi-Fi, как в случае использования паспорта, и не обязывает регистрироваться на сайте Госуслуг, для чего также необходим интернет, который пользователь пытается получить.
Последовательность действий пользователя для доступа к бесплатной сети Wi-Fi выглядит следующим образом:
- Абонент подключается к сети WiFi.
- Появляется приветственная страница заведения с информацией, что абонент должен открыть браузер и идентифицировать себя (на некоторых устройствах, например, iPhone, идентификация прямо с приветственной страницы не сохраняет cookie).
- В браузере, при переходе на любой URL, происходит переадресация абонента на страницу идентификации.
- Абонент вводит телефонный номер, запрашивает код доступа.
- Код доступа приходит на введенный номер телефона через SMS.
- Абонент вводит полученный код доступа на странице идентификации.
- Происходит запись сессионной cookie на абонентское устройство с сохранением в течение суток (это необходимо для повторного доступа в сеть без идентификации) и переход на запрошенный пользователем URL.
Владельцу заведения необходимо только установить и настроить оборудование Wi-Fi, подключить его к линии оператора связи и оплатить выбранный тарифный план. Работа по идентификации пользователя происходит на оборудовании оператора связи, как это происходит, рассмотрим на примере системы СКАТ от компании VAS Experts.
Используя e-mail или социальные сети
С этим разделом все понятно. Нажимайте на нужную кнопку, чтобы выбрать социальную сеть, а потом ждете подтверждения и входа в беспроводную сеть.
С таким способом есть одна проблема: требования законодательства она не выполняет. Это скорее способ собрать данные о почте и социальных сетях или накрутить себе подписчиков в группы. Если вам предлагают, то авторизуйтесь, только ждите, что ваши данные окажутся у них в руках, и вам будут предлагать все товары и акции.
Законным является этот способ в том случае, если социальная сеть передаст им ваш номер телефона.
Как пользователь может авторизоваться по wi-fi
Алгоритм подключения к вай-фаю смартфонов на операционной системе андроид или iOS в общественных местах достаточно прост. При попытках загрузить любую попавшуюся страницу в Интернете на экране гаджета отобразится форма авторизации.
Далее:
- Пользователь вводить в соответствующую форму свой номер мобильного телефона.
- Подтверждает его с помощью СМС.
- Оператор на серверах запоминает номер и привязывает к нему МАС-адрес используемого девайса. Только после этого пользователь может в неограниченном количестве использовать Интернет.
Существуют и другие способы авторизовать вай-фай — через социальные сети с целью сбора информации о своей клиентской базе и через сайт Госуслуг (в метро).
Кто отвечает за идентификацию
Проводить идентификацию пользователя, регистрировать его устройство в сети и следить за временем рабочей сессии должен владелец заведения, предоставляющий доступ к открытой Wi-Fi сети. Ответственность и штраф (до 50 000 рублей для ИП и до 200 000 рублей для юридических лиц) за невыполнение требований постановления ложится также на него.
Существуют 3 основных способа организации идентификации:
- Установка специального оборудования (роутера, прокси-сервера) в сети Wi-Fi заведения. Такой способ чаще всего применяется владельцами гостиниц, где для идентификации гостя в сети используется номер комнаты, к которому привязаны его паспортные данные.
- Использование готового решения от фирмы посредника, которая предоставляет оборудование и сервис по идентификации по номеру телефона. Этот способ может применяться владельцами небольших кафе и ресторанов, но имеет ограничение по масштабированию и требует заключения отдельного договора и ежемесячной платы за сервис.
- Предоставление услуги идентификации оператором связи, с которым заключен договор на предоставление доступа в интернет. Наиболее универсальный и доступный вариант, так как не требует дополнительных затрат на оборудование, может оплачиваться по основному договору предоставления доступа к сети интернет и не имеет ограничений по числу абонентов бесплатного Wi-Fi.
Напомним, что идентификация может осуществляться тремя способами — по документу, удостоверяющему личность (паспорт, водительские права и т.д.), номеру мобильного телефона или учетной записи на сайте Госуслуг. Авторизация через социальные сети не отвечает требованиям Постановления и не является правомерной.
Механизмы защиты wi-fi
Технологии создаются людьми и почти во всех из них есть ошибки, иногда достаточно критические, чтобы обойти любую самую хорошую в теории защиту. Ниже мы пробежимся по списку существующих механизмов защиты передачи данных по радиоканалу (то есть не затрагивая SSL, VPN и другие более высокоуровневые способы).
Настройка оборудования
Для реализации схемы необходимо настроить оборудование оператора: систему DPI, DHCP-сервер, Web-сервер.
Необходимость авторизации
Идентификация пользователей Wi-Fi по паспортным данным или номеру телефона в общественных местах обязательна по закону (97-ФЗ от 05.10.2022 года, постановление правительства 758 от 31 июля 2022 г., № 801 от 12 августа 2022 г.).
Это сделано, чтобы ограничить использование бесплатных сетей для хакерских атак или другой незаконной деятельности. Было несколько историй насчет того, что кто-то через сети в кафе заходил на запрещенные сайты и заказывал там товары, занимался взломом чужих аккаунтов, подбором паролей или другими подобными вещами.
Проконтролировать все это при открытом вай-фае невозможно, как и отыскать человека, который все это делал. Он даже не обязан находится в пределах видимости, чтобы иметь возможность подключения.
Поэтому было принято решение ввести ограничения для публичных сетей, теперь они требуют авторизацию, а для подтверждения запрашиваются паспортные данные или подтверждение номера телефона.
Передайте мне сахар
Представьте, что вы — устройство, которое принимает инструкции. К вам может подключиться каждый желающий и отдать любую команду. Всё хорошо, но на каком-то этапе потребовалось фильтровать личностей, которые могут вами управлять. Вот здесь и начинается самое интересное.
Как понять, кто может отдать команду, а кто нет? Первое, что приходит в голову — по паролю. Пусть каждый клиент перед тем, как передать новую команду, передаст некий пароль. Таким образом, вы будете выполнять только команды, которые сопровождались корректным паролем. Остальные — фтопку.
План атаки
Внимательные читатели, конечно, заметили, что как бы мы не хитрили — от передачи пароля и временного ключа в открытой или хэшированной форме нам никуда не деться. Как результат — достаточно хакеру перехватить передачу на этой фазе, и он сможет читать все последующие данные, а также участвовать в процессе, вставляя свои пять копеек.
И отличить его невозможно, так как вся информация, которой бы мог руководствоваться сервер для выдачи временного ключа или проверки доступа базируется именно на том, что было в начале передачи — handshake. Поэтому хакер знает всё то же, что и сервер, и клиент, и может водить обоих за нос, пока не истечёт срок действия временного ключа.
Наша задача при взломе любой передачи так или иначе сводится к перехвату рукопожатия, из которого можно будет либо вытащить временный ключ, либо исходный пароль, либо и то, и другое. В целом, это довольно долгое занятие и требует определённой удачи.
Но это в идеальном мире…
Плюсы и минусы авторизации, вопросы безопасности
Страница входа со сбором данных о людях — требование закона, и оно является обязательным. Если забыть об этом и выделять положительные и отрицательные стороны, то можно выделить пару-тройку и тех, и других.
Среди минусов:
- Разработка лишней страницы;
- Ввод персональных данных может настораживать людей;
- Нужна оплата оборудования и услуг провайдеров, специалистов;
- Отсутствие приватности.
Плюсы гораздо существеннее:
- Владелец получает дополнительную площадку для рекламы;
- Клиент узнает об акциях и скидках прямо при входе в интернет;
- Возможный учет некоторого количества людей;
- Увеличение количества подписчиков и последующий анализ целевой аудитории;
- Увеличение контроля над беспроводной сетью.
Отдельным пунктом идет безопасность. Отождествление номера телефона и ФИО человека производится государственными органами, а не бизнесменом, а все данные хранятся в оборудовании бизнеса не менее года.
Авторизация возможна также и для домашнего использования. Предоставляют ее такие операторы, как Билайн, МТС, Мегафон и другие.
По смс или звонку
Это распространенный способ, который стоит на большей части роутеров. Подключаетесь к вайфаю, входите в сеть и перед вами выскакивает окно с предложением авторизоваться. Соглашаетесь, после чего вам приходит SMS, из которой вводите код в поле.
Вместо сообщения может поступить звонок, а ввести надо последние несколько цифр его номера. Если все сработало правильно, то даже вводить ничего не надо, телефон сам перехватит сообщение и подставит цифры.
Иногда вам потребуется куда-то позвонить, чтобы подтвердить номер. Здесь не перепутайте, звоните с того номера, который указывали при подключении.
Подключение аутентификации в wi-fi
Бизнесменам настоятельно рекомендуется получать весь комплекс услуг от единственного оператора, это выгоднее и быстрее. Речь идет о предоставлении непосредственно Интернета, сетевого оборудования и программного обеспечения.
Для заключения договора человеку необходимо обратиться в ближайший центр обслуживания. С собой необходимо иметь:
- заявление, написанное на бланке организации согласно образцу;
- доверенность на подписание договоров;
- документы, которые подтверждают законное владение или пользование помещением;
- копии учредительных документов организации.
Если дома пользователь принципиально хочет оставить сеть открытой, он может это сделать, и никакая авторизация не требуется. Для организации беспроводной сети используются мощные роутеры от ведущих производителей Mikrotik, TP-Link и т. д. После выбора оборудования нужно решить вопрос со способом авторизации. Если это проигнорировать, то можно заработать штраф.
Получение доступа по паспорту или ваучеру
Доступ по паспорту уже давно не встречался лично мне в разных сервисах. Когда все только начиналось, у Ростелекома можно было ввести свои паспортные данные и получить доступ к интернету. Это длительный способ, так что его мало кто выбирает. Еще меньшее количество людей хочет отправлять свои паспортные данные непонятно кому.
Сервис авторизации
В качестве примера можно привести сервис FWIFIRU, который предоставляет возможности по приему сообщений, звонков, тонкую настройку всех параметров Internet. Сайт существует с 2022 года и за это время накопил достаточно опыта, чтобы быть одним из лидеров отрасли. Помимо этого, проект обеспечивает работу с полным соответствием действующему законодательству в этой сфере.
Способы авторизации
Аутентификация в беспроводной точке доступа может осуществляться по СМС, звонку на бесплатный номер, ваучеру или с использованием данных портала Госуслуг.
Существующие способы авторизации и их особенности:
Способы пройти авторизацию
Для подключения к сети вам потребуется подтвердить свою личность. Способов для этого есть несколько, первый из них – это по смс. Мобильный номер телефона зарегистрирован на человека, при его покупке берутся паспортные данные, так что это быстрый способ отследить входящего в сеть человека. Если понадобится, то и сам мобильный телефон есть возможность отследить.
Остальные способы связаны с подтверждением уже вашей личности. Где-то потребуется ввести паспортные данные, войти в аккаунт госуслуг, использовать какую-то из предложенных социальных сетей.
Способов много, так что стоит выбрать тот, что удобен вам в данный момент. Только не стоит слишком уж полагаться на надежность защиты вайфая и доверять ему все свои данные.
Схема идентификации оператором по номеру телефона
Помимо стандартного оборудования для предоставления доступа к сети интернет абонентам (коммутаторы, маршрутизаторы, граничный роутер, Wi-Fi точки доступа) оператор должен иметь:
Последовательность операций при работе по такой схеме:
- Абонентское устройство (смартфона, планшет, ноутбук) подключается к Wi-Fi роутеру заведения (та самая бесплатная сеть);
- Wi-Fi роутер обращается за новым IP к DHCP серверу оператора связи;
- При выдаче нового IP, DHCP сервер вызывает shell-скрипт, и передает данные на Wi-Fi роутер;
- Shell-скрипт по выданному IP активирует на СКАТ DPI услугу белый список и тариф с ограничениями доступа;
- WEB-сервер получает запрос на приветственную страницу, абонент активирует браузер и переходит на любой URL;
- WEB-сервер получает запрос на страницу идентификации (и проверяет cookie), абонент вводит телефонный номер и нажимает «получить код доступа»;
- WEB-сервер получает запрос на код доступа, формирует случайное число и отправляет на телефон абонента с помощью внешнего сервиса, абонент вводит в форму полученный код и нажимает «подтвердить»;
- WEB-сервер получает запрос на подтверждение кода доступа, если код правильный, вызывает shell-скрипт для удаления услуги белый список и установки тарифа Wi-Fi доступа, устанавливает cookie в браузере и переадресует на запрошенный URL.
Через портал госуслуг
Такой способ авторизации ставят не все операторы, так что не удивляйтесь, если его не будет. Когда перед вами появится меню выбора варианта входа, то кликайте «Авторизоваться через Госуслуги» или на аналогичную надпись.
