Для проведения гостевой авторизации, т.е. идентификации беспроводного устройства, и его последующий доступ в сеть Интернет, потребуется хотспот - устройство, на котором производится перенаправление HTTP-сессии Wi-Fi абонента на внешний портал авторизации. Таким устройством может быть:
любая "бытовая" точка доступа с установленной прошивкой OpenWrt/dd-wrt и программным пакетом CoovaChilli;
маршрутизатор с функцией портала перехвата hotspot, возможно, со встроенной точкой доступа: Mikrotik (модели hAP, CCR, CHR, RBxxx и т.п.);
маршрутизатор на основе pfSense (клон FreeBSD) с функцией Captive Portal;
сервер-концентратор доступа BRAS, например Cisco 7200, Cisco ASR, Alcatel-Lucent SR7750, Juniper MX, RDP.RU (требует дополнительной лицензии).
Идентификация устройства производится путём привязки МАС-адреса этого устройства к верифицированным учётным данным (номер телефона, ваучер, запить из Госуслуг и т.п.). Поскольку МАС-адреса передаются в беспроводной сети в открытом виде, то их легко прослушать и подменить. Любые способы авторизации, завязанные на использование МАС-адреса мобильного устройства, потенциально являются небезопасными. Тем не менее, действующие сетевые стандарты, и общий подход к реализации гостевого доступа со стороны производителей сетевых устройств, не оставляют других вариантов. |
В первую очередь, необходимо построить беспроводную сеть доступа для ваших абонентов. В случае контроллерно-управляемых точек доступа, точки должны соответствовать контроллеру. В остальных случаях можно использовать любые точки доступа. Из соображений безопасности крайне желательно разграничить сетевые сегменты открытой (публичной части) и вашей внутренней сети. Такое разграничение можно обеспечить либо на физическом уровне, либо при помощи VLAN.
В приведенном ниже примере в качестве точек доступа используются Ubiquiti UniFi (открытая сеть без встроенного портала), а в качестве маршрутизатора/хотспота используется Mikrotik.
Для идентификации через СМС-сообщение сервер будет отправлять команды на отправку СМС-сообщения с кодом доступа через шлюз СМС-провайдера (в настоящее время поддерживаются провайдеры SMSC, Websms.By, smstraffic, МТС.Коммуникатор, отправка через локально установленный USB GSM модем (утилита gammu), через установленный в маршрутизатор Mikrotik USB модем или через любого провайдера по протоколу SMPP через утилиту kannel). Возможна также отправка голосового вызова на телефон абонента, где автоматически будет продиктован код доступа, через нескольких операторов, а также приём звонка от абонента через шлюз Asterisk.
Если имеется несколько площадок, где предоставляется доступ пользователям, можно установить на каждой из них по маршрутизатору Mikrotik. В таком случае необходимо настроить несколько экземпляров "серверов доступа" и "площадок" в соответствующих разделах интерфейса системы WNAM (внимание: количество площадок лицензируется). Если места предоставления услуги находятся где-то в сети Интернете (который предоставляет на месте альтернативный провайдер), можно связать площадки с центральным узлом (где находится сервер) при помощи VPN (OpenVPN, VPLS, VLAN и т.п.).
Можно также привязать несколько площадок на один маршрутизатор MikroTik (несколько экземпляров HotSpot).
Перед настройкой сервера системы WNAM и хотспота на беспроводном контроллере/маршрутизаторе необходимо убедиться, что сама беспроводная сеть настроена правильно. Абоненты должны подключаться к сети, получать IP-адрес (работает DHCP), должна функционировать служба DNS, маршрутизация трафика, служба трансляции адресов (NAT). Без корректно работающей беспроводной сети в режиме "без авторизации" переходить к настойке системы WNAM не следует. |
Для успешной работы сервиса авторизации необходима настройка трёх компонентов: WNAM (портала), WNAM (RADIUS-сервера), службы HotSpot на устройстве.
При первоначальном подключении абонента проводится его идентификация и перенаправление сессии на внешний сайт или рекламу, при последующих - только перенаправление. При идентификации производится привязка МАС-адреса абонентского устройства к номеру мобильного телефона абонента. При этом производится отправка абоненту кода подтверждения, который необходимо ввести на специальной странице. Таким образом, становится реальным розыск абонента, использовавшего радио-сеть, по запросу от соответствующих органов. Схема работы "по шагам" приведена ниже.
К одному номеру телефона можно привязать несколько устройств (МАС-адресов), в том числе тех, которые не имеют SIM-карты. Время жизни такой авторизации определяется в параметрах (меню "Конфигурация" → "Общие настройки" → "Авторизация" → "Длительность авторизации телефонного номера"), либо в индивидуальных настройках площадки (рекомендуется выставлять это время в 180 дней). При повторных подключениях того же пользователя, если с момента авторизации не прошло указанное выше время, производится безусловная (без подтверждений и СМС-cсообщений) авторизация сессии.
Беспроводная сеть никак не может защититься от ситуации с подменой МАС-адресов беспроводных устройств, система WNAM также не сможет обеспечить такой защиты. В случае автоматической смены МАС-адреса на устройстве (т.н. "рандомизация MAC-адреса"), система WNAM идентифицирует это устройство как новое, ранее не авторизованное в сети. Это не является ошибкой в работе системы WNAM.
Настройки административного интерфейса системы WNAM позволяют установить содержимое страниц, отображаемых абонентам при первоначальном подключении (авторизации) и при каждом последующем подключении к сети. Помимо демонстрации рекламных материалов и формы согласия с условиями предоставления услуги, возможно безусловно перенаправлять HTTP-сессию абонента на указанный вами сайт. Во всех случаях производится учёт числа показов и переходов по страницам каждого из типов с возможностью получить детальную статистику в административном интерфейсе системы WNAM.
При поступлении запроса от вышестоящего провайдера или компетентных органов о сведениях об абоненте, посетившем определенный ресурс в сети Интернет в заданный промежуток времени, система WNAM позволяет при помощи простой формы запроса получить информацию о потоках трафика, сессиях, параметрах абонента, вплоть до его номера телефона, и выгрузить все эти сведения в файл для предоставления запрашивающим органам.