Одним из ключевых компонентов системы авторизации “Вайфаюшка” является хотспот – интеллектуальное устройство, на котором производится перенаправление первичной HTTP-сессии Wi-Fi абонента на портал системы для прохождения авторизации.
В качестве хотспота на данный момент может использоваться:
В первую очередь на объекте необходимо построить качественную беспроводную сеть доступа для абонентов. Для расширения зоны покрытия можно использовать дополнительно любые точки доступа (AP), обеспечивающие прозрачное прохождение MAC внутри системы. При использовании внешних точек доступа (AP) отключите на них DHCP клиент и DHCP сервер и включите режим BRIDGE WDS.
Из соображений безопасности очень желательно разграничить сетевые сегменты открытой (публичной части) и внутренней сети предприятия. Такое разграничение можно обеспечить либо на физическом уровне, установив отдельное устройтво, либо при помощи VLAN.
В приведенном ниже примере в качестве точек доступа используются Ubiquiti UniFi (открытая сеть, режим AP), а в качестве маршрутизатора и хотспота – Mikrotik.
При первичном подключении абонента проводится его ОБЯЗАТЕЛЬНАЯ идентификация (через SMS, Звонок или портал ГосУслуг) с последующим перенаправлением на сайт владельца точки доступа или другой рекламный сайт (указывается в личном кабинете). При вторичных подключениях происходит подтверждение актуальности данных (опционально, может быть выключено) и перенаправление на сайты.
При идентификации производится привязка МАС-адреса подключенного устройства к номеру мобильного телефона абонента (SMS/Звонок) либо к учётной записи на портале ГосУслуг, что в свою очередь позволяет осуществить розыск абонента, пользовавшегося Wi-Fi хотспотом, при обращении компетентных органов.
Схема и описание прохождения процедуры авторизации приведены ниже.
1. Пользователь подключает свое беспроводное устройство (ноутбук, смартфон, планшет) к открытой беспроводной сети (без ключа шифрации) и получает IP-адрес от маршрутизатора (DHCP).
2. Пользователь открывает какую-либо страницу в сети Интернет, либо его устройство само открывает страницу авторизации (современные гаджеты прекрасно умеют это делать).
3. Первичное подключение пользователя маршрутизатор считает “не авторизованным” и производит перенаправление сессии на страницу Captive_Portal с выбором предпочитаемого метода авторизации (SMS, Звонок, портал ГосУслуг).
4. HotSpot отображает пользователю собственную страницу авторизации. Данная страница изначально загружена в маршрутизатор и в ней указана автоматическая отправка формы на сервер системы авторизации “Вайфаюшка”.
5. Пользователь выбирает предпочтительный метод авторизации – SMS, Звонок или портал ГосУслуг.
6. Пользователь вводит номер своего телефона и затем совершает звонок на указанные номера или ожидает прихода SMS с кодом.
7. При получении номера телефона система авторизации “Вайфаюшка” генерирует случайный (6-символьный) код активации, и через SMS-шлюз отправляет его на указанный телефон. Альтернативном варианте сервер ждёт телефонного звонка от абонента, с указанным номером, в течение трёх минут.
8. Пользователь вводит код подтверждения (в случае авторизации через SMS)
9. При совпадении кода или получениии звонка с введенного номера, система авторизации “Вайфаюшка” производит редирект (средствами HTTP redirect) сессии пользователя в сторону HotSpot маршрутизатора, либо открывает доступ пользователю иным способом.
10. HotSpot производит проверку МАС-адреса пользователя путём отправки RADIUS запроса серверу
11. RADIUS-сервер, получив запрос на авторизацию, через модуль mywifi-freeradius передает в систему авторизации “Вайфаюшка” запрос на авторизацию (MACабонентского устройства пользователя, идентификатор хотспота, текущий IP-адрес и т.п.).
12. Система авторизации “Вайфаюшка” авторизует такое обращение, создает в своей базе учётную запись абонента по МАС (если такого адреса ещё не было) и возвращает ответ RADIUS серверу
13. RADIUS-сервер возвращает ответ маршрутизатору
14. Маршрутизатор авторизует на своем портале HotSpot сессию пользователя, открывая ему доступ в Internet.
15. Одновременно с этим отправляет RADIUS-серверу запрос начала сессии (Accounting-Start).
16. RADIUS-сервер транслирует запрос начала учёта сессии в системе авторизации “Вайфаюшка”, тот создаёт запись о новой сессии. Периодически получая сообщения о статусе сессии, система ведет статистику о переданном абонентом трафике.
17. По завершении сессии (тайм-аут), пользователь, если ещё не отключился и активен, снова перенаправляется на страницу подтверждения.
На один номер телефона можно привязать несколько устройств (МАС-адресов), в том числе тех, которые не имеют SIM-карты. Время жизни авторизации определяется в настройках площадки. Рекомендуется выставлять это время в 180 дней. При повторных подключениях того же пользователя, если с момента авторизации не прошло указанное выше время, производится безусловная (без подтверждений и СМС) авторизация сессии.
Беспроводная сеть никак не может защититься от ситуации с подменой МАС адресов беспроводных устройств, нужно понимать что это издержки технологии.
Настройки административного интерфейса системы авторизации “Вайфаюшка” позволяют установить содержимое страниц, отображаемых абонентам при первоначальном подключении (авторизации) и при каждом последующем подключении к сети. Помимо демонстрации рекламных материалов, формы согласия с условиями предоставления услуги, возможно безусловно перенаправлять HTTP-сессию абонента на необходимый сайт (как правило это сайт владельца хотспота). Во всех случаях производится учёт числа показов и переходов по страницам каждого из типов, с возможностью получить детальную статистику в административном интерфейсе.
При поступлении запроса от вышестоящего провайдера или компетентных органов о сведениях об абоненте, посетившем определенный ресурс в сети Интернет в заданный промежуток времени, система авторизации “Вайфаюшка” позволяет получить информацию о сессиях, параметрах абонента, вплоть до его номера телефона, и выгрузить все эти сведения в файл для предоставления запрашивающим.