Как организовать доступ к Wi-Fi-сети в рамках закона
Сложно представить свое дело, особенно в СМБ-секторе, в рамках которого организация бесплатного беспроводного доступа в Сеть для сотрудников и посетителей была бы излишней или неуместной. Почти всегда открытие публичной Wi-Fi-точки (или, по-другому, хотспота) приводит к повышению лояльности клиентов и увеличению доходов заведения. Рано или поздно этот вопрос встает почти перед каждым торгово-развлекательным объектом, будь то гостевой дом, придорожное/привокзальное кафе, салон красоты, конференц-зал, автосервис или загородная дача, сдаваемая в аренду.
В общем, случаев, когда нужен Wi-Fi, бесконечное множество. Как показывает статистика, больше половины клиентов в сегменте HoReCa заинтересованы в получении бесплатного, быстрого и стабильного интернет-подключения, более того – многие даже считают этот пункт обязательным. Однако в реальности лишь 30-40% организаций действительно уделяют внимание этому вопросу, что удивляет – ведь открытие публичного хотспота способствует росту продаж основного бизнеса (иногда на десятки процентов) и повышению узнаваемости бренда. Тем не менее далеко не все бизнесмены решаются на организацию публичного доступа в Сеть. Кто-то не осознает важности этого вопроса, уповая на относительно высокую доступность мобильного Интернета, а для других это просто темный лес из технологических знаний и юридических ловушек.
Да, ситуация с покрытием мобильного Интернета продолжает улучшаться, однако не стоит забывать, что его качество зависит как от пропускной способности ближайших к месту вышек-ретрансляторов, так и уровня проникновения мобильной связи в конкретном здании, которое к тому же дополнительно снижается в случае, если абонентов много.
Как проседает качество интернет-связи легко заметить в автомобильных пробках или на массовых культурно-развлекательных мероприятиях, организаторы которых не озаботились размещением дополнительных усилителей. Кроме того, до сих пор немало слепых пятен на карте доступности мобильной связи. А ведь собственная Wi-Fi-сеть – это не только полезная дополнительная услуга, но и возможность для более глубокой работы с клиентом. В частности, можно настроить автоматическую переадресацию на собственный интернет-портал, разместив там дополнительную информацию об услугах, скидках, программах лояльности, рекламу.
Закон
Несмотря на это, осторожность предпринимателей в вопросах организации публичных беспроводных точек доступа в Сеть не назовешь иррациональной. Действительно, начиная с 2014 года, чтобы открыть Wi-Fi-хотспот, нужно соответствовать ряду законодательных требований, иначе не избежать штрафов и внеплановых проверок со стороны контролирующих органов. Организатор подобного сервиса обязан обеспечивать идентификацию и авторизацию каждого пользователя, а также хранить их данные, включая список посещенных веб-ресурсов. То есть нельзя просто настроить точку доступа стандартным способом (например, как дома) и указать общий пароль для подключения.
Точнее, чисто технически сделать так можно, но это незаконно, поскольку анонимный доступ в Интернет официально запрещен на основании 97-ФЗ от 5 мая 2014 г., а также Постановлений Правительства РФ № 758 от 31 июля 2014 г. и № 801 от 12 августа 2014 г. В соответствии с этими документами оператор и/или владелец заведения, предоставляющего услугу доступа в Сеть, должен достоверным способом установить ФИО каждого интернет-пользователя, однако то, как именно он это сделает, остается на его усмотрение. После чего составляются списки всех воспользовавшихся Интернетом и соответствующих лог-файлов. В подавляющем большинстве случаев идентификация осуществляется по номеру мобильного телефона (через SMS или звонок) либо через авторизацию с помощью учетной записи пользователя на портале госуслуг. (В теории также должен работать вариант с физическим предъявлением документов, удостоверяющих личность, непосредственно администратору заведения, однако сегодня такой подход в реальной жизни почти не встречается.)
Если владелец организации предоставляет публичный доступ в Сеть без соблюдения требований законодательства, ему могут выписать штраф: от 2 до 5 тыс. рублей для физлиц; от 5 до 50 тыс. рублей для должностных лиц; от 100 до 200 тыс. рублей для юридических лиц (а в случае повторного нарушения – до 300 тыс.).
Кстати, помимо идентификации пользователей, сбора и хранения истории посещений, владелец организации должен установить защиту от недетского контента и обеспечить недоступность сайтов, заблокированных по решению Роскомнадзора. Впрочем, за последний пункт обычно отвечает телеком-оператор или сервис-провайдер.
Как?
В большинстве случаев для того, чтобы организовать небольшую публичную (открытую, гостевую) точку доступа в Интернет, достаточно приобрести роутер с поддержкой технологии Captive Portal и подключить-оплатить соответствующую услугу у одного из облачных коммерческих сервисов. Причем сервисный провайдер и роутер должны быть совместимы между собой, так как на рынке существуют значительно отличающиеся друг от друга реализации Captive Portal. Подавляющее большинство организаций обращаются за помощью к коммерческим посредникам, предоставляющим свои услуги по идентификации, авторизации и логированию веб-деятельности пользователей публичных WiFi-сетей, то есть фактически все перечисленные функции осуществляются на сторонних облачных серверах, а сам роутер выступает в роли связующего звена.
В принципе можно организовать авторизацию на собственном сервере, воспользовавшись отечественным коробочным решением для идентификации абонентов гостевых WiFi-сетей на стороне заказчика, однако для большинства малых и средних компаний такой подход выглядит избыточным. С другой стороны, в этом случае владелец бизнеса будет иметь полный контроль над всеми процессами авторизации. Правда, для этого потребуются продвинутые знания в области сетевых технологий и тонкая настройка ПО уровня NETAMS WNAM (Wireless Network Access Manager), что поставит ребром вопрос о наличии в штате грамотного системного администратора/сетевого инженера. Как и в случае с облачными решениями, с помощью этого подхода можно настроить различные способы идентификации (SMS, звонок, ваучер, госуслуги), последующую авторизацию пользователей, использование гибких политик доступа, перенаправление трафика на сайт клиента и показ соответствующей рекламы, сбор аналитических данных, поиск абонентов в базе данных по заданным параметрам и т. п. Главное отличие от облачных решений заключается в установке ПО на собственном сервере: соответственно, после приобретения лицензии на ПО в статье постоянных расходов останется только оплата идентификационных SMS-сообщений.
Но, повторюсь, это решение более актуально для крупных организаций, нуждающихся в управлении целыми сетями хотспотов и обрабатывающих десятки тысяч авторизаций в день, на практике же чаще используются встроенные в роутеры решения на базе популярных облачных сервисов. К слову, некоторые подобные сервисы, например WiFiNow, для предоставления своих услуг СМБ-клиентам используют именно WNAM.
Итак, как уже сказано, идентифицировать пользователей можно с помощью номера мобильного телефона или через авторизацию на портале госуслуг (gosuslugi.ru). Однако первый способ в реальности может быть реализован по-разному. Во-первых, по SMS – когда абонент вводит свой номер телефона и получает на него код доступа, который используется для подключения к WiFi. Во-вторых, с помощью входящего звонка, когда пользователь оставляет свой номер телефона и получает звонок, четыре последние цифры номера которого являются кодом доступа. В-третьих, по исходящему звонку – клиент звонит на указанный номер телефона, обычно бесплатный, после чего получает доступ к WiFi. Авторизация с помощью госуслуг также ничем примечательным не выделяется.
Авторизацию на роутере можно настроить как с помощью облачных (удаленно на чужом сервере), так и коробочных (локально на своем сервере) решений. Сегодня функция Captive Portal доступна по умолчанию на большом числе сетевых устройств как корпоративного, так и пользовательского (домашнего) класса.
Примеры реализации
Рассмотрим реализацию Captive Portal на примере роутеров компании Keenetic, на любой модели модельного ряда которой можно быстро развернуть публичную (гостевую) зону Wi-Fi с обязательной авторизацией абонентов. Помимо использования технологии для идентификации пользователей, Captive Portal также можно применять для сбора открытых данных при дополнительной авторизации клиентов через социальные сети. Кроме того, стартовую страницу авторизации можно превратить в портал с полезной для клиентов информацией и даже разместить там рекламу.
По своей сути Captive Portal – это внешний веб-портал для авторизации пользователей, на который принудительно перенаправляются все абоненты публичной Wi-Fi-сети. Главный принцип работы Captive Portal заключается в перехвате роутером всего http- и https-трафика подключенных к устройству пользователей (и проводных, и беспроводных) и его последующего перенаправления на выделенный веб-сервер, где после авторизации пользователь получает доступ в Интернет. В дальнейшем абонент идентифицируется через MAC-адрес его устройства.
В процессе работы гостевой Wi-Fi-зоны Captive Portal взаимодействует с RADIUS-сервером (Remote Authentication in Dial-In User Service) на стороне поставщика услуг, который отвечает за распределение и контроль за расходом ресурсов, то есть определяет лимит времени подключения (тайм-аут сессии), скорость и объем трафика, выделенного каждому абоненту. Наряду с RADIUS в Captive Portal используется универсальный метод контроля доступа Universal Access Method (UAM) на базе подхода AAA (Authentication, Authorization, Accounting). Имплементация этих технологий (Captive Portal, UAM и AAA) в устройствах Keenetic (как и во многих других) основывается на open-source-службе CoovaChilli.
Таким образом, чтобы запустить публичную WiFi-сеть, необходимо приобрести роутер, подключить его к доступному каналу связи (Ethernet, xDSL, 4G и т. д.), после чего выбрать совместимого с оборудованием поставщика сервиса Captive Portal и наиболее подходящий тариф, оплатить услугу и настроить роутер. Технология Captive Portal поддерживается всеми моделями Keenetic, на которые можно установить ОС версии 2.10 и старше. Профили ведущих поставщиков сервиса добавлены в веб-интерфейс управления роутерами, поэтому для настройки достаточно ввести параметры своей учетной записи из личного кабинета сервисного оператора. Профиль каждого поставщика добавляется в список после серии успешных тестов. При выборе сервис-провайдера услуги Captive Portal также имеет смысл обращать внимание на официальные рекомендации поставщиков по выбору совместимых с их сервисами устройств. Компонент Captive Portal, реализованный в Keenetic, поддерживается следующими компаниями: 1 Wi-Fi, CiA Wi-Fi, GetWiFi, Global Hotspot, FlyGo, HotspotSystem, Hot-WiFi, Iron Wi-Fi, MegaFon, MKS-NET, MyWiFi, NetByNet, NSG, OTS-NET, RadrigoWiFi, Rostelecom, SAI-WiFi, Svarog, Wifiworld, WiFly, WorldSpot.net.
Итак, для начала необходимо проверить, установлен ли в роутере системный компонент Captive Portal, и в случае его отсутствия установить. После инсталляции в веб-конфигураторе на странице «Гостевая сеть» в разделе “Captive Portal” появится возможность включить эту функцию и заняться настройкой. Важный момент: модуль Captive Portal может быть запущен исключительно на устройстве, которое работает в своем основном режиме «Роутер».
Несмотря на то, что настройки для отдельных облачных сервисов могут различаться, общие принципы схожи. После включения модуля в поле «Профиль» нужно выбрать предустановленный профиль выбранного ранее поставщика сервиса. Подразумевается, что на данном этапе вы уже оплатили услугу у сторонней компании из этого списка (желательно, но необязательно, можно выбрать поставщика не из списка, но настройка станет сложнее). Данные для заполнения полей “UAM Secret” и “RADIUS NAS ID” необходимо взять у поставщика услуг Captive Portal: для этого нужно зайти в личный кабинет сервиса, добавить там новый хотспот и на странице его настройки найти параметры «Идентификатор хотспота (NAS ID)» и «Пароль (UAM Secret)». Стоит отметить, навигация в личном кабинете и названия этих полей у разных поставщиков могут немного разниться. Если используются преднастроенные профили, ввода или изменения данных в других полях обычно не требуется. К слову, настоятельно не рекомендуется редактировать предзаполненные поля предустановленных профилей без существенной необходимости. Если это все-таки потребовалось, то для ознакомления с полными настройками профиля нужно нажать «Показать профиль», а для их изменения – «Редактировать профиль».
Сразу после сохранения полей “UAM Secret” и “RADIUS NAS ID” сервис можно запускать в рамках гостевой Wi-Fi-сети с названием “Guest” по умолчанию. Не забывайте, что гостевую сеть (как и модуль Captive Portal) нужно сначала активировать с помощью соответствующего ползунка: в настройках ее запуска также можно изменить имя сети, выбрать защиту (с паролем WPA-PSK или без него) и расписание доступности. Кроме того, роутеры Keenetic способны обеспечивать независимую работу гостевой и основной сетей. В таком случае доступ к основной сети, например для администраторов и сотрудников, может осуществляться без дополнительной авторизации, а к гостевой – только после прохождения авторизации через Captive Portal. В случае необходимости расширения мощности беспроводной сети и увеличения дальности можно подключить второй роутер к основному в режиме «Точка доступа».
Если на руках имеются все нужные для подключения к сервис-провайдеру данные и есть необходимость в ручной настройке профиля, то на странице включения Captive Portal в меню выбора профилей следует выбрать «Мой профиль» и заполнить все поля (более десятка) – эту информацию нужно запросить у поставщика услуги.
После внесения необходимых настроек и запуска гостевой сети пользователи смогут самостоятельно подключаться к ней. При подключении мобильного устройства к публичной сети при первом обращении к любому веб-сайту абонент будет принудительно переадресован на специальную страницу авторизации, размещенную на базе ресурсов облачного оператора, где после прохождения авторизации получит сообщение о подключении к хотспоту и активации доступа в Интернет.
Другие варианты
На официальных сайтах провайдеров, предоставляющих услугу Captive Portal, обычно есть разделы, посвященные особенностям настройки роутеров и маршрутизаторов различных производителей. Среди моделей, для которых имеются адекватные инструкции, есть как типовые роутеры пользовательского (домашнего) уровня, например D-Link, TP-Link, так и корпоративные устройства от Cisco, Huawei и др. Не менее часто встречаются описания по работе с устройствами Mikrotik и роутерами с кастомными open-source-прошивками OpenWrt и DD-WRT. Кстати, последние по факту являются встраиваемыми операционными системами на базе ядра ОС Linux.
Операторы услуг по авторизации пользователей заявляют о поддержке большинства роутеров, доступных на российском рынке, однако далеко не все из них так же легко настроить, как Keenetic. Несмотря на то, что заранее встроенные профили существенно облегчают разворачивание гостевой Wi-Fi-зоны, нередко производители сетевого оборудования пренебрегают вниманием к этой детали. Инструкции общего характера могут насчитывать десятки страниц с описанием сложных последовательностей действий, которые не всегда приводят к успеху, особенно у неискушенных пользователей. В частности, для настройки устройств на базе прошивок OpenWrt и DD-WRT обычно требуется подготовить с помощью личного кабинета поставщика сервиса специальные конфигурационные файлы, которые потом загрузить на роутер. Тем не менее в некоторых случаях для настройки роутера достаточно будет вручную заполнить профиль подключения к поставщику услуг Captive Portal, запросив нужные данные у оператора. В качестве примера можно ориентироваться на описание процесса настройки роутеров Keenetic, но при этом не забывать читать инструкции по настройке конкретных аппаратных устройств, предлагаемые непосредственно сервисными провайдерами.
* * *
При всем желании описать в подробностях и в рамках одной статьи все варианты настройки роутеров различных классов не представляется возможным. Тем не менее первые шаги в этом направлении мы уже сделали.
Опубликовано 24.07.2023