Сервис аутентификации и идентификации Wi-Fi компании ПАФЭС прошел проверку Роскомнадзора

23.12.2016 | Владимир Хазов

Анонимный и бесконтрольный доступ в сеть интернет может стать угрозой для государства и его жителей, именно поэтому Постановление правительства №758, вступившее в силу 13 августа 2014 года, обязало владельцев публичных заведений, которые предоставляют бесплатный доступ к Wi-Fi, идентифицировать пользователей. Согласно постановлению и разъяснениям Минкомсвязи, идентификация может быть выполнена тремя способами: по документу, удостоверяющему личность (например, паспорту), номеру мобильного телефона или учетной записи на сайте Госуслуг.

Кто отвечает за идентификацию

Проводить идентификацию пользователя, регистрировать его устройство в сети и следить за временем рабочей сессии должен владелец заведения, предоставляющий доступ к открытой Wi-Fi сети. Ответственность и штраф (до 50 000 рублей для ИП и до 200 000 рублей для юридических лиц) за невыполнение требований постановления ложится также на него.

Существуют 3 основных способа организации идентификации:

1. Установка специального оборудования (роутера, прокси-сервера) в сети Wi-Fi заведения.Такой способ чаще всего применяется владельцами гостиниц, где для идентификации гостя в сети используется номер комнаты, к которому привязаны его паспортные данные.
2. Использование готового решения от фирмы посредника, которая предоставляет оборудование и сервис по идентификации по номеру телефона.Этот способ может применяться владельцами небольших кафе и ресторанов, но имеет ограничение по масштабированию и требует заключения отдельного договора и ежемесячной платы за сервис.
3. Предоставление услуги идентификации оператором связи, с которым заключен договор на предоставление доступа в интернет. Наиболее универсальный и доступный вариант, так как не требует дополнительных затрат на оборудование, может оплачиваться по основному договору предоставления доступа к сети интернет и не имеет ограничений по числу абонентов бесплатного Wi-Fi.

Напомню, что идентификация может осуществляться тремя способами — по документу, удостоверяющему личность (паспорт, водительские права и т.д.), номеру мобильного телефона или учетной записи на сайте Госуслуг. Авторизация через социальные сети не отвечает требованиям Постановления и не является правомерной.

Идентификация по номеру телефона

Данный способ идентификации является наиболее распространённым, он не требует согласия по работе с персональными данными от пользователя Wi-Fi, как в случае использования паспорта, и не обязывает регистрироваться на сайте Госуслуг, для чего также необходим интернет, который пользователь пытается получить.

Последовательность действий пользователя для доступа к бесплатной сети Wi-Fi выглядит следующим образом:

1. Абонент подключается к сети WiFi.
2. Появляется приветственная страница заведения с информацией, что абонент должен открыть браузер и идентифицировать себя (на некоторых устройствах, например, iPhone, идентификация прямо с приветственной страницы не сохраняет cookie).
3. В браузере, при переходе на любой URL, происходит переадресация абонента на страницу идентификации.
4. Абонент вводит телефонный номер, запрашивает код доступа.
5. Код доступа приходит на введенный номер телефона через SMS.
6. Абонент вводит полученный код доступа на странице идентификации.
7. Происходит запись сессионной cookie на абонентское устройство с сохранением в течении суток (это необходимо для повторного доступа в сеть без идентификации) и переход на запрошенный пользователем URL.

Владельцу заведения необходимо только установить и настроить оборудование Wi-Fi, подключить его к линии оператора связи и оплатить выбранный тарифный план. Работа по идентификации пользователя происходит на оборудовании оператора связи, как это происходит рассмотрим на примере системы DPI СКАТ от компании ВАС Экспертс.

Схема идентификации оператором по номеру телефона

Помимо стандартного оборудования для предоставления доступа к сети интернет абонентам (коммутаторы, маршрутизаторы, граничный роутер, Wi-Fi точки доступа) оператор должен иметь:

• Систему СКАТ DPI;
• DHCP сервер для организации централизованной выдачи адресов абонентам (в одной сети с DPI), обладающий возможностью при выдачи нового IP адреса вызвать shell скрипт;
• Виртуальную машину с установленным WEB-сервером Apache (httpd), модулем просмотра статистики и отчетов (nfsen);
• Доступ к сервису для отправки SMS сообщений (например, digital-direct.ru);
• NAT для уменьшения количества используемых IPv4 адресов, и записью лога трансляций IP↔IP, PORT (опционально);
• Radius для аутентификации в сети по идентификатору абонента (опционально).

Последовательность операций при работе по такой схеме:

1. Абонентское устройство (смартфона, планшет, ноутбук) подключается к Wi-Fi роутеру заведения (та самая бесплатная сеть);
2. Wi-Fi роутер обращается за новым IP к DHCP серверу оператора связи;
3. При выдаче нового IP, DHCP сервер вызывает shell-скрипт, и передает данные на Wi-Fi роутер;
4. Shell-скрипт по выданному IP активирует на СКАТ DPI услугу белый список и тариф с ограничениями доступа;
5. WEB-сервер получает запрос на приветственную страницу, абонент активирует браузер и переходит на любой URL;
6. WEB-сервер получает запрос на страницу идентификации (и проверяет cookie), абонент вводит телефонный номер и нажимает «получить код доступа»;
7. WEB-сервер получает запрос на код доступа, формирует случайное число и отправляет на телефон абонента с помощью внешнего сервиса, абонент вводит в форму полученный код и нажимает «подтвердить»;
8. WEB-сервер получает запрос на подтверждение кода доступа, если код правильный, вызывает shell-скрипт для удаления услуги белый список и установки тарифа Wi-Fi доступа, устанавливает cookie в браузере и переадресует на запрошенный URL.

Настройка оборудования

Для реализации схемы необходимо настроить оборудование оператора: систему DPI, DHCP-сервер, Web-сервер.

Настройка системы DPI

1. Используем описание классов протоколов txt

http      cs0

https     cs0

dns       cs0

default cs1

1. Конвертируем и из архива с исходниками копируем на сервер DPI

cat protocols.txt|lst2dscp /etc/dpi/protocols.dscp

htdocs/wifi/.script в /home/fastdpi/

1. Создаём файл тарифа default_policing.cfg для доступа к интернет через WiFi — 10 mbit

htb_inbound_root=rate 10mbit

htb_inbound_class0=rate 1mbit ceil 10mbit

htb_inbound_class1=rate 1mbit ceil 10mbit

htb_inbound_class2=rate 8bit ceil 10mbit

htb_inbound_class3=rate 8bit ceil 10mbit

htb_inbound_class4=rate 8bit ceil 10mbit

htb_inbound_class5=rate 8bit ceil 10mbit

htb_inbound_class6=rate 8bit ceil 10mbit

htb_inbound_class7=rate 8bit ceil 10mbit

htb_root=rate 10mbit

htb_class0=rate 1mbit ceil 10mbit

htb_class1=rate 1mbit ceil 10mbit

htb_class2=rate 8bit ceil 10mbit

htb_class3=rate 8bit ceil 10mbit

htb_class4=rate 8bit ceil 10mbit

htb_class5=rate 8bit ceil 10mbit

htb_class6=rate 8bit ceil 10mbit

htb_class7=rate 8bit ceil 10mbit

1. Создаём файл тарифа captive_portal_hard.cfg для блокировки доступа к интернету совместно с белым списком

htb_inbound_root=rate 256kbit

htb_inbound_class0=rate 8bit ceil 256kbit

htb_inbound_class1=rate 8bit ceil 8bit

htb_inbound_class2=rate 8bit ceil 8bit

htb_inbound_class3=rate 8bit ceil 8bit

htb_inbound_class4=rate 8bit ceil 8bit

htb_inbound_class5=rate 8bit ceil 8bit

htb_inbound_class6=rate 8bit ceil 8bit

htb_inbound_class7=rate 8bit ceil 8bit

htb_root=rate 256kbit

htb_class0=rate 8bit ceil 256kbit

htb_class1=rate 8bit ceil 8bit

htb_class2=rate 8bit ceil 8bit

htb_class3=rate 8bit ceil 8bit

htb_class4=rate 8bit ceil 8bit

htb_class5=rate 8bit ceil 8bit

htb_class6=rate 8bit ceil 8bit

htb_class7=rate 8bit ceil 8bit

1. Настраиваем услугу белый список

cp_server=yoursite.ru/welcome.php

Настройка DHCP-сервера

1. Настраиваем удаленный запуск команд через SSH
2. Устанавливаем триггер на выдачу нового IP:

ssh dpi_user@dpi_host «/home/fastdpi/_add_captive_portal.sh »

 Настройка Web-сервера

1. Настраиваем удаленный запуск команд через SSH
2. Настраиваем конфигурацию Apache, пример в директории архива conf/:

• в conf.d/php.ini переносим / добавляем настройки из примера conf/php.ini
• включаем файл conf
• настраиваем DocumentRooot на /var/www/html/htdocs/wifi/

1. Копируем htdocs/ в /var/www/html
2. Редактируем /var/www/html/htdocs/wifi/.script/remove_captive_portal.sh
3. Редактируем /var/www/html/htdocs/wifi/request.php, указываем USER и PASSWORD доступ к сервису отправки SMS сообщений

Реализация идентификации пользователя по такой схеме позволяет решить сразу несколько задач:

• Предоставлять посетителям бесплатный доступ в интернет, повышая тем самым их лояльность и удовлетворенность;
• Соответствовать требованиям Постановления и избежать штрафов;
• Размещать на странице авторизации рекламу и информацию о маркетинговых акциях заведения;
• Ведение статистики о посетителях для дальнейшего анализа с целью повышения качества предоставляемых услуг.

Для получения более подробной информации о функции идентификации пользователей системы DPI СКАТ и других ее возможностей можно обратится к специалистам компании ВАС Экспертс.

Подписывайтесь на рассылку новостей блога, чтобы не пропустить новые материалы.

Поделиться в социальных сетях

Wi-Fi аутентификация пользователей

Оператор связи ОТК предлагает готовое решение для организации публичной Wi-Fi сети с авторизацией в соответствии с законодательством РФ.

Wi-Fi авторизация через sms-сообщения или входящий звонок позволяет выполнить все требования закона. Помимо специализированного программного продукта мы предлагаем разделение сетей доступа для публичного и офисного назначения.

Тарифы на Wi-Fi авторизацию

1000 руб./мес.Количество точек доступа1Авторизация через SMSДаПодключениеБесплатноПодключить

• SMS-авторизация пользователей публичного Wi-Fi в полном соответствии с Федеральным законом № 97-ФЗ.
• Один Wi-Fi роутер – одна точка доступа.
• Стоимость SMS-авторизации – 3 ₽/чел.
• Бесплатный дизайн Вашей персонифицированной приветственной страницы в рамках установленного шаблона.
• Бесплатная настройка редиректа на Ваш сайт.
• Ежемесячные отчеты с номерами телефонов авторизованных пользователей гостевого Wi-Fi.
• Указанные цены включают НДС 20%.

Гостевой Wi-Fi с авторизацией

Проконсультируем по тарифам, подберем оборудование и бесплатно установим

ОборудованиеMikrotik hAP ac lite tower4900 руб.Mikrotik HAP RB951UI-2ND4300 руб.MikroTik LtAP mini LTE kit12500 руб.MikroTik RB2011UiAS-2HnD-IN9100 руб.Mikrotik RB4011 SERIES17800 руб.MikroTik RBD52G-5Hac6500 руб.MikroTik wAP LTE6 kit13000 руб.

Бесплатный выход в интернет через Wi-Fi для клиентов кафе, ресторанов, гостиниц, отелей, клубов, кинотеатров, парков и даже в общественном транспорте, например, Wi-Fi в метро, – все это уже не редкость в наши дни. А скорее жизненно необходимая услуга для любой современной организации или заведения. Раздача бесплатного Wi-Fi позволяет увеличить поток клиентов. И обеспечить их лояльность к заведению в целом.

Согласно закону №758, вступившего в силу летом 2014 года, организатор публичного доступа в интернет через сеть Wi-Fi должен вести обязательную идентификацию пользователей. Это означает, что привычное автономное пользование сетью запрещено законом. Данные постановления призваны оградить детей от информации, которая может причинить вред их здоровью и развитию. А также в целях безопасности антитеррористической угрозы.

Нарушение этого закона грозит реальными штрафами от Роскомнадзора для владельца заведения, где нет авторизации Wi-Fi. Размер штрафов для ИП и юридических лиц от 50 тыс. до 300 тыс. рублей. Более того, возможно административное приостановление деятельности публичного заведения сроком до 90 суток. Таким образом, не соблюдение ФЗ “О противодействии экстремистской деятельности” и раздача интернета без авторизации пользователей грозит серьезными убытками для бизнеса. А в некоторых случаях ставит под сомнение дальнейшую работу заведения.

Wi-Fi авторизация пользователей: как настроить

Чтобы установить Wi-Fi авторизацию, необходимо специальное оборудование и программное обеспечение. Для полноценной работы системы нужен портал авторизации “hotspot”. Задача этого портала – обеспечить доступ к интернету только после подтверждения определенной связки данных. Номер телефона – mac-адрес устройства. Это возможно сделать несколькими способами:

1. Через SMS-сообщения. Клиент набирает в поле свой номер мобильного телефона. Далее система присылает на этот номер SMS c кодом доступа, пользователь вводит код и подключается к Wi-Fi. Такой способ быстр и удобен для клиентов, но может оказаться весьма затратным для заведения. Учитывая тот факт, оно оплачивает каждое такое сообщение. Авторизация через SMS подойдет, например, для раздачи Wi-Fi в небольших кафе или в зонах отдыха.
2. По звонку. Клиент вводит свой номер телефона и звонит по бесплатному номеру, вызов регистрируется в системе и сбрасывается. А клиент получает доступ в сеть. Этот способ авторизации наиболее выгоден. Т.к. звонок бесплатен как для клиента, так и для самой организации.
3. По ваучерам. Способ подходит для отелей, гостиниц, баз отдыха и т. п., где большое количество посетителей. При создании каждого нового ваучера система выдает индивидуальные логин и пароль для каждого номера в отеле. Это позволяет сократить затраты на SMS-коды и время на звонки.
4. Доступ через популярные социальные сети. Прекрасное решение для клубов, ресторанов, автосервисов и т. п. Потому что помимо авторизации гостя в системе Wi-Fi, можно узнать о нем дополнительную информацию. Например, день его рождения, и подарить символический подарок или скидку на услуги. Чем заслужить лояльность клиента.

Важно знать: чтобы раздавать Wi-Fi с идентификацией пользователей, публичные заведения обязаны хранить все данные о подключившихся к сети пользователях не менее 6 месяцев с даты подключения.

Объединенная телекоммуникационная корпорация предлагает своим клиентам готовые комплексные решения для установки порталов авторизации “hotspots” в публичных заведениях.

Готовые решения: как раздать Wi-Fi для клиентов от оператора связи ОТК:

• Объединенная телекоммуникационная корпорация подключает “hotspots”, чтобы раздавать Wi-Fi. Как на базе своего 4G LTE интернета, так и на уже существующем подключении от другого провайдера.
• Оператор связи ОТК осуществляет подключение только на оборудовании Mikrotik. Что позволяет раздавать вай фай и обеспечить максимальную защиту данных. Как правило, можно создать подобную сеть и на обычном более дешевом оборудовании. Но работать она будет весьма ненадежно, да и недолго.

Hotspot на базе Mikrotik работают стабильно и надежно. К тому же имеют массу индивидуальных настроек, например, сделать Wi-Fi разделенным для публичного пользования и внутреннего для сотрудников. Использование программного обеспечения hotspot shield реализовывает безопасную передачу данных в виртуальной частной сети через специально шифрованное соединение, которое защищено от прослушивания.

Также программа имеет широкие возможности хранения данных и их сортировки. Что особенно актуально для раздачи Wi-Fi в местах, где ежедневно подключают большое количество пользователей.

Установка оборудования сотрудниками ОТК не занимает много времени и не требует проведения дополнительных монтажных работ. Начать раздавать интернет для клиентов без риска нарушить закон можно уже через 30 минут после установки.

Консультация по услугам

Специалисты компании ответят на все Ваши вопросы, подберут необходимое оборудование и подготовят коммерческое предложение.

Зачем нужна идентификация пользователя

Злоумышленники, хакеры, а также террористы могут использовать гостевые WiFi-сети для сохранения своей анонимности при совершении преступлений. После терактов в Париже власти Франции предлагали даже ввести запрет на публичный Wi-Fi.

Изменения в российском законодательстве начались с антитеррористических поправок — реакции на взрывы в Волгограде в конце 2013 года. В соответствии с этими поправками Правительство РФ выпустило постановление №758 от 31 июля 2014 г., а также №801 от 12 августа 2014 г. об обязательной идентификации пользователей публичных WiFi-сетей. По закону, пользователей можно идентифицировать по паспортным данным, номеру мобильного телефона (SMS-идентификация), либо через логин на портале госуслуг. SMS-идентификация — самый простой способ для владельцев публичных точек доступа в интернет.

Данные пользователей, которые заходили в сеть через конкретную точку, понадобятся следователям в случае террористической угрозы: нельзя выйти на след подозреваемого, который заходил в интернет анонимно через публичную точку доступа. Идентификация позволяет исключить анонимность тех, кто использует публичные интернет-сети, — определить все MAC-адреса, подключенные к устройству, а значит, с большей вероятностью установить, кто совершил неправомерное действие. Это помогает следствию.

Терроризм — не единственная угроза для пользователей анонимного публичного Wi-Fi. Подключаясь к публичной Wi-Fi сети, пользователь может передать свои данные хакерам, не подозревая об этом. Известна история кампании по кибершпионажу Darkhotel, когда в течение нескольких злоумышленники воровали данные постояльцев дорогих отелей — руководителей компаний. Еще один известный случай использования беспроводных сетей хакерами в преступных целях — это история Альберта Гонсалеза, укравшего более 170 миллионов платежных реквизитов кредитных и дебетовых карт.

Злоумышленникам ничего не стоит создать публичную Wi-Fi-точку, назвав ее безобидным Wi-Fi Starbucks, и получить доступ к данным пользователей. Подключаясь к сети, пользователи не глядя подписываются под условиями использования. В Лондоне был проведен эксперимент, в котором для получения доступа к Wi-Fi люди соглашались с условиями, где были пункты «отдать своего первого ребенка или самое любимое домашнее животное».

Что грозит предпринимателям, которые не идентифицируют пользователей Wi-Fi-точки

Действующим законом ответственность за отсутствие идентификации пользователей предусмотрена для операторов связи — им грозит штраф в размере 30–40 тыс.

В марте 2016 года Минкомсвязи подготовило законопроект, в соответствии с которым администрация общественных мест — владельцы кафе, библиотек, школ, парков — с точками Wi-Fi-доступа обязаны идентифицировать своих пользователей. За невыполнение — штраф в размере до 200 тыс. рублей.

На должностных лиц предполагается штраф от 5 тыс. до 10 тыс. рублей, на юрлиц — от 100 тыс. до 200 тыс. руб. В случае повторного нарушения штраф составит 300 тыс. руб. Законопроект проходит процедуру согласования.

Первое крупное внедрение системы идентификации произошло в московском метро еще в конце февраля прошлого года. Также SMS-идентификацию пользователей бесплатного Wi-Fi в России во всех своих 505 заведениях уже ввела сеть ресторанов быстрого питания McDonald’s.

Как происходит SMS-идентификация

Пользователи публичной гостевой WiFi-сети указывают номер телефона. На указанный номер приходит код, после ввода которого гость получает доступ в интернет.

В момент подключения система сохраняет уникальный идентификатор (MAC-адрес) устройства пользователя и связывает его с указанным номером телефона.

Если пользователь совершил какие-либо правонарушения, сотрудники правоохранительных органов будут иметь минимально необходимую информацию о нем: идентификатор устройства и номер телефона, а также время подключения к сети.

Как часто надо проходить SMS-идентификацию

Пользователь должен пройти идентификацию 1 раз. Система запоминает его на 3 месяца — за это время у посетителя может измениться номер, — а уже при следующих посещениях он может свободно авторизоваться в сети, либо совершить одно из перечисленных действий для подключения к WiFi:

• Подписаться на страницу компании в соц. сетях
• Сделать рекламный пост на личной странице в соц. сети
• Пройти опрос / Заполнить форму / Оставить обратную связь
• Оставить почтовый адрес
• Скачать приложение
• Авторизоваться через соц. сети для передачи данных (Имя, Пол/Возраст, Данные профиля)

Где хранятся данные, и в каком случае они используются правоохранительными органами

Согласно принятым в мае 2014 г. изменениям в закон «Об информации», провайдеры обязаны хранить данные о пользователях, прошедших идентификацию, в течение 6 месяцев после момента подключения к сети.

При соответствующем запросе со стороны правоохранительных органов провайдер предоставляет данные по подключениям:

• Дата/Время подключения
• Идентификатор устройства (MAC-адрес)
• Номер телефона

В процессе расследования преступления, где подозреваемый пользовался интернетом, правоохранительные органы имеют право запрашивать данные у операторов, чтобы установить личность виновного. Это единственный случай, когда данные пользователей могут кому-то понадобиться без их разрешения на использование.

Можно ли использовать номера телефонов пользователей для рекламных целей

Расскажем на своем примере. Владелец точки доступа в интернет от Hot WiFi может спросить у пользователей разрешения использовать их номера для рекламных целей (SMS-рассылки). Только в этом случае (!) Hot WiFi предоставляет номера телефонов пользователей, которые дали свое согласие.

Однако ответственность за использование номеров пользователей полностью ложится на юрлицо, которое будет заниматься рассылкой.

В каких странах SMS-идентификация уже работает

В Беларуси еще с 1 июля 2010 года жители страны могут заходить в интернет, предъявив паспорт или другой документ, удостоверяющий личность. Провайдеры обязаны собирать данные пользователей и хранить в течение года, предоставляя при необходимости правоохранительным органам.

В Италии с 2005 года (после терактов в Лондоне) и до конца 2010 действовал закон Писану, названный по имени его автора — министра внутренних дел Джузеппе Писану. Однако даже после его отмены многие операторы предпочли оставить идентификацию пользователей в бесплатных точках доступа к WiFi до вступления в силу в июле 2013-го правительственного указа Decreto del Fare, окончательно вернувшему анонимность пользователей WiFi-сетей.

Hot WiFi дает возможность владельцу гостевого WiFi собирать данные пользователей для проведения маркетинговых кампаний, используя различные механики сервиса (подробно о нашем продукте мы писали тут), а также показать полное соответствие требованиям со стороны государства.

Напишите нам на sales@hot-wifi.ru или оставьте заявку на нашем сайте, если хотите внедрить решения Hot WiFi для вашего бизнеса.

Также подписывайтесь на наши страницы в социальных сетях в Facebook  и Вконтакте  — там мы публикуем последние новости о наших новых продуктах и анонсы статей в Блоге.

Используемые источники:

• https://vasexperts.ru/blog/identifikaciya-abonenta-v-wi-fi-seti-po-tel/
• https://otktel.ru/internet/wi-fi-avtorizaciya-dlya-publichnyx-zavedenij/
• https://hot-wifi.ru/blog/sms_identification/