Для начала можно дать определение данному сегменту рынка – это Hospitality, то есть индустрия гостеприимства.
Этот сегмент в последние годы показывает существенный рост в России, а сервис «качественная беспроводная сеть Wi-Fi для Hospitality» является настолько важной, что является одним из ключевых его характеристик, участвующих в определении итогового рейтинга отеля:
Проектирование качественной беспроводной WiFi-сети для отелей, по нашему мнению, является одной из самых сложных в реализации задач, поскольку требует учета множества факторов: наличия разных требований к покрытию и нагрузкам.
Принципы оснащения WiFi сетью номерного фонда, ресторанов, фойе, конференц-холлов, зачастую еще и внешних территорий, и террас отличаются друг от друга и требуют особенного подхода к проектированию и выбору решений для каждого из них.
ПОДРОБНО РАЗБЕРЕМ КАЖДУЮ ИЗ ЗАДАЧ! НАЧНЕМ С ТЕХНИЧЕСКОЙ ЧАСТИ – НЮАНСОВ ПРОЕКТИРОВАНИЯ WIFI-СЕТИ, ПЛАНИРОВАНИЯ МЕСТ РАЗМЕЩЕНИЯ ТОЧЕК ДОСТУПА И ВЫБОРА ТИПА И КЛАССА ОБОРУДОВАНИЯ
Этап 1. Проектирование размещение WiFi-оборудования для номерного фонда
По мнению профессионального сообщества WiFi-сеть должна проектироваться в соответствии с минимальным уровнем сигнала в -67dBm (например, см. Cisco Enterprise Mobility Design Guide). Эту цифру можно использовать как ключевое требование к поставщику решения. Но тут кроется еще один нюанс – современное WiFi оборудование предоставляет сервис одновременно в двух частотных диапазонах: 2,4GHz и 5GHz, к какому из них предъявлять указанные требования? Для ответа на данный вопрос необходимо хотя бы немного разобраться в действующих стандартах линейки IEEE802.11.
Подробное исследование лежит за пределами данной статьи, поэтому ограничимся нужным для нас выводом:
WiFi сеть в диапазоне 5GHz, на данный момент, предоставляет наиболее высокоскоростное подключение и качественные характеристики WiFi сервиса для гостя.
Но, к сожалению, планирование сети только для 5GHz диапазона WiFi имеет свои нюансы:
Имеется достаточно большое количество старого клиентского оборудования, которое работает только в диапазоне частот 2,4GHz или которое настроено/исполнено таким образом, что данный диапазон будет являться приоритетным. Вот, например, данные по самому свежему, на момент написания статьи, распределению клиентского оборудования по частотам в действующем отеле, спроектированному на соответствие сигнала 5GHz мин. -67dBm (скриншот с интерфейса контроллера WiFi серии NXC производителя Zyxel, обслуживающего WiFi сеть SPA отеля из 200 точек доступа, всего 350 гостей, в текущий момент, в основном, находящихся в публичных зонах, частотно-мощностной план управляется автоматически контроллером, band steering/select не используется):
Из текущего (измерение сделано в 2019г.) распределения – 2,5:1 – следует, что качественное проектирование WiFi сети для частотного диапазона 2,4GHz является обязательным, так как подавляющее большинство клиентов предпочитают данный диапазон. Но, так как при работе в нем есть существенные нюансы, в частности, связанные с наличием потенциально высокой интерференции, то мы обязательно разберем данный вопрос в статье чуть позже.
Во-вторых, сигнал на частоте 5GHz распространяется хуже (это связано с большим значением рассеивания энергии в пространстве/препятствиях для данной частоты, то есть нагрев выше), чем в диапазоне 2,4GHz. При планировании сети на диапазон 5GHz следует учитывать, что для достижения идентичного с 2,4GHz уровня сигнала точек доступа потребуется примерно на 30% больше (для частных случаев и на все 100%). Далее, для наглядного примера, мы представим результаты реальных промеров для одной из гостиниц, с учетом размещения WiFi оборудования в коридорах:
Слева – направо: маршрут обследования, измеренный уровень сигнала от выделенной точки на рабочей частоте 2,4GHz, измеренный уровень сигнала от выделенной точки на рабочей частоте 5GHz, серая отсечка – уровень -67dBm
Мы плавно подошли к нюансам размещения и выбора беспроводного оборудования в номерном фонде. Как мы видим из рисунков, точки доступа размещаются в коридорах. Покрытие в 2,4GHz удовлетворяет требованиям, в 5GHz – частично нет. Если бы гостиница, в вышеуказанном случае, входила бы в список сетевых, например, таких как Marriott, Radisson или Holiday Inn, то по результатам обследования следовало бы принять меры по устранению выявленного недостатка.
Для сетевых гостиниц в большинстве случаев существует «карта отеля» – документ, предписывающий обязательные характеристики применяемых решений, в частности для данных отелей указано обязательное требование по наличию высокого уровня покрытия на всей территории именно на частоте 5GHz. Так же такая «карта отеля» зачастую ограничивает выбор решения конкретными производителями и моделями устройств (например, межсетевые экраны – только производителя Checkpoint, WiFi оборудование – только Cisco или Ruckus).
Коридор отеля
В нашем случае, мы использовали более плотное размещение точек доступа для перекрытия их зон эффективного действия и предотвращения наличия зон с нестабильным уровнем сигнала.
Измеренный уровень сигнала от двух выделенных точек доступа на рабочей частоте 5GHz
К сожалению, на последнем рисунке мы как раз наблюдаем основную проблему размещения точек доступа в коридорах, а именно крайне низко эффективный радиус их работы.
Программно моделируемый уровень сигнала от двух точек доступа на рабочей частоте 5GHz
Далее, обратите внимание на выбранный пример расположения точек доступа – в данном случае мы их разместили строго в соответствии с линией межкомнатных стен. Следует учитывать, что даже небольшое смещение – всего 0,5м-1м от проектируемого, может вызвать эффект «косой танковой брони» на линии распространения сигнала, и, как результат, стабильное покрытие в требуемых зонах уже не будет обеспечиваться.
Программно моделируемый уровень сигнала от выделенной ТД «НЕПРАВИЛЬНО» на рабочей частоте 5GHz
Наиболее существенной является высокая вероятность интерференции точек доступа между собой, как следствие – ухудшение качественных характеристик сервиса. Особенно часто данный эффект дает о себе знать при работе в диапазоне 2,4GHz. Он содержит всего 3 непересекающихся рабочих частотных диапазона, соответственно, при плотном размещении точек доступа в коридорах, они так или иначе (точки доступа монтируются в одном коридоре на небольшом расстоянии друг от друга) оказываются в зонах прямого воздействия, создавая помехи для своих же точек, работающих на том же канале.
Для наглядности, можно смоделировать негативное действие данного эффекта для диапазона частот 2,4GHz:
Но в реальности нагрузки на такие группы точек в гостинице невелики, поэтому гораздо чаще встречается эффект отсутствия стабильного сигнала в номерном фонде, при очень плотном размещении точек доступа в коридорах:
Программно моделируемый уровень сигнала от точек доступа на рабочей частоте 2,4GHz с минимальной выставленной мощностью излучения
Эффект уменьшения зон покрытия от точек доступа может быть вызван тем, что если на WiFi контроллере используется автоматическое управление мощностями радио-интерфейсов точек доступа (TPC –Transmit Power Control), то с очень большой вероятностью контроллер для уменьшения интерференции (т.к. он в своих расчетах в первую очередь ориентируется на уровни сигнала от соседних точек доступа, которые, очевидно, будут очень высокими при размещении WiFi точек в одном коридоре) снизит мощности радиопередатчиков до минимума, что приведет к нестабильному покрытию в номерах. В этом случае желательно самостоятельно отредактировать граничные значения параметров мощности излучаемого сигнала для таких групп точек доступа.
Несмотря на минусы в размещении WiFi точек в коридорах, есть и существенные плюсы:
По используемому классу оборудования для размещения в коридорах номерного фонда, рекомендуется применять точки доступа бюджетного модельного ряда со встроенными всенаправленными антеннами, так как высокой плотности клиентов в таких зонах не ожидается. Например, из enterprise класса подойдут такие модели:
Точки доступа Cisco1832i, Ruckus R310, Zyxel NWA5123-AC
К счастью, многие производители предоставляют интересные решения в части беспроводного оборудования, созданные специально для гостиничного сегмента рынка, например:
Точки доступа Cisco1815w, Ruckus H510, Zyxel WAC5302D-S
Точки доступа подобного типа предназначены для монтажа (в т.ч. скрытного) на стены непосредственно в номерах. Дополнительным преимуществом является то, что в таких точках предусмотрен встроенный коммутатор, позволяющий подключить через него такое внутреннее оборудование как: IP TV, VoIP телефон или предоставить проводную розетку для гостя. Тем самым появляется возможность создать качественное WiFi покрытие даже в действующем номерном фонде, при этом приложив минимум усилий на разработку/модернизацию Wi-Fi сети (старые проекты СКС в гостиницах часто предусматривали наличие хотя бы одного кабеля в номер, например, для IP-телефона).
Такая точка доступа обычно имеет более низкую стоимость относительно классического решения (у Cisco, например, лицензия для контроллера поставляется бесплатно с точкой доступа данного типа), эффективное покрытие – 1-4 номера, в зависимости от площадей и материалов стен/перекрытий. Не стоит забывать, что при таком размещении оборудования в коридоры также следует устанавливать небольшое количество «опорных» точек доступа WiFi, чьей основной задачей будет обеспечивать наличие связи в общих пространствах и устранять эффект избыточного роуминга, при движении клиента по коридору.
Программно-моделируемый уровень сигнала от точек доступа гостиничного типа
на рабочей частоте 5GHz при установке её в/на стене номера)
В качестве финальной рекомендации по размещению W-Fi точек доступа для номерного фонда – мы поделимся с вами одним советом, который вы не найдете в руководствах по настройке: Выключайте диодную индикацию на соответствующих группах оборудования. Любопытные дети и мнительные гости, например, из Японии, могут проявить излишний интерес к «перемигивающемуся» объекту и испортить вам оборудование и нервы.
Этап 2. Проектирование размещения WiFi оборудования для мест общего пользования
Основная характеристика подобных мест – это сбор огромного числа людей, сконцентрированных на одной, сравнительно небольшой, территории.
Конференц-зал отеля
Общепринятый термин, характеризующий такие инсталляции – Hi-density Wireless Network. При проектировании WiFi сетей для решений высокой плотности следует в первую очередь учитывать и закладывать решение на максимально возможное количество пользователей. Обычно оно достигает данных значений в момент проведения выставок/семинаров/концертов, в периоды праздников (особенно актуально для загородных отелей и домов отдыха). Из нашего опыта около 90% людей, находящихся на мероприятии, подключаются к сети Wi-Fi отеля и не отключаются до конца события. Если же на территории зала организован концерт либо выступление известных лиц, то в дополнении к аудитории подключаются достаточно «тяжелые» для сети пользователи, ведущие запись или трансляцию видео в облако.
К сожалению, технически WiFi технология имеет один существенный недостаток, который ограничивает её возможности работы с большим количеством пользователей одновременно. Это «битва за ресурс» – за доступ к сети конкурируют одновременно все пользователи, так как в один момент времени, при работе с одной WiFi точкой доступа, принимать или передавать данные может только один пользователь. Также существует проблема «клиента в дальней зоне». Проясним её суть.
Здесь для объяснения ситуации придется немного углубиться в технику. Действительно, принимаемый уровень сигнала определяет выбор модуляции, а тем самым скорость подключения к сети. Например, посмотрим таблицу чувствительности приемника для диапазона 2,4GHz 802.11n тех же самых точек доступа Cisco 1702i.
Таблица чувствительности приемника
Казалось бы, при уровне сигнала -75dBm должна обеспечиваться максимальная скорость подключения клиента к точке доступа. Но следует учитывать, что уровень WiFi сигнала может падать в десятки раз, при перемещении адаптера из-за многолучевого распространения.
На самом деле, самая распространённая причина «скачков» уровня сигнала – это затенение адаптера препятствием. Например, если зайти за дверь, предмет мебели или загородить клиентское устройство своим телом, можно легко вызвать падение уровня сигнала на 10dB.
Вы можете легко это проверить – поставьте себе на телефон простенькое приложение по типу «WiFi Analyser» и увидите, как сам собой «скачет» уровень принимаемого сигнала от вашего домашнего роутера. Потом попробуйте встать на пути между вашим телефоном и роутером или положите на роутер книгу, или плотно возьмите телефон двумя руками в его верхней части – посмотрите, что произойдет. Как только принимаемый уровень сигнала упадет, клиентский адаптер не только попытается переключиться на более низкую скорость, но и запустит процесс активного роуминга (за этот процесс отвечает исключительно клиентская часть, и тут вопрос насколько качественно она написана.
Мы сталкивались со случаями категорически длительного процесса роуминга, в котором было виновато клиентское ПО, и не всегда было возможно найти релиз ПО для клиентской части, где проблема была устранена), а именно будет «скакать» по частотам и искать соседние точки доступа с более высоким уровнем сигнала, и пытаться к ним присоединиться. На практике это вызовет реальные задержки, вполне себе видимые и ощущаемые пользователем в процессе работы клиентских приложений.
Есть еще один нюанс: как известно, WiFi работает в режиме полудуплекса, то есть единовременно он только или передает, или принимает информацию от одного клиента. Загвоздка проявляется в том, что точка доступа, по умолчанию, не делает различий между клиентами, работающими с высокими и низкими скоростями, и в равных конкурентных условиях состязания за доступ к сети, в один общий промежуток времени, клиент, подключенный на высокой скорости, передаст столько же данных, сколько клиент, подключенный с низкой скоростью.
Наглядно получится такая картина: допустим, есть два клиента, работающие в 802.11n в диапазоне 2,4GHz. Один подключен с максимальной скоростью в 150Мбит/с, второй с минимальной в 6Мбит/с.
Для простоты понимания будем считать по скорости модуляции – реальные скорости в WiFi ниже, за счет наличия времени состязания за доступ к среде, защитных интервалов, работы служебных протоколов и т.д. Допустим, первый клиент будет передавать 1Мбайт информации за 50мс, а второй – 1500мс. Но все то время, пока клиент с низкой скоростью подключения будет передавать свои данные, клиент с высокой скоростью просто будет простаивать.
Составив несложную математическую пропорцию, можно убедиться, что в условиях одинаковой активности клиент с высокой скоростью передачи данных получит не (150 – 6) Мбит/с, а в 30 раз меньше – 5Мбит/с скорости.
Реальная картина еще печальнее теоретической. Клиентов в дальней зоне может быть несколько или они могут находиться в дальней зоне по разные стороны точки доступа. В этом случае они могут «не слышать» начало передачи данных от другого клиента и начать пытаться передавать свои, тем самых создавая активную помеху.
Несколько спасти ситуацию может занижение значений RTS threshold / Fragmentation threshold, но данные меры еще больше сократят доступную для передачи полосу, за счет фрагментации пакетов и возросшего служебного трафика на RTS/CTS механизм.
В нашей практике были частные случаи, когда несколько нетребовательных к полосе пользовательских устройств (неактивный браузинг, работа с почтой), находясь в дальней зоне одной точки доступа на теоретически приемлемом уровне -75 -80dBm создавали задержки в сети по 1-2с, что приводило к чрезвычайно нестабильной работе с приложениями. Поэтому проектируйте:
Кстати, стандарт 802.11ac Wave2 частично решает эту проблему, но опять же для публичных пространств он нам пока не помощник (слишком много одновременно работающих устройств на разных стандартах). Поэтому единственным адекватным способом избавиться от такой ситуации будет проектирование WiFi сети изначально на высокий уровень сигнала. Что конечно же влечет за собой затраты на установку большего числа точек доступа WiFi. Еще современные решения позволяют произвести настройку беспроводной сети, чтобы автоматически деассоциировать клиентов с низким уровнем сигнала по заданному пороговому значению. Но, чтобы клиенту было куда деваться, сеть должна обеспечивать высокий уровень сигнала повсеместно!
Какой же уровень сигнала является высоким? Мнение профессионального сообщества: WiFi сеть должна проектироваться на -67dBm (например, см. Cisco Enterprise Mobility Design Guide). В целом, мы согласимся с этой цифрой, но при этом уточним – вне зависимости от нагрузки на WiFi-сеть. Конечно, в частных случаях, когда нагрузка на сеть действительно будет мала и не планируется вообще никакого масштабирования, требования могут быть снижены.
Указанные проблемы решаются проектированием сети на соблюдение высокого уровня сигнала (min. -65dBm) с высоким коэффициентом перекрытия зон действия WiFi точек (обычно 40%, иногда – вплоть до 80%). Так же увеличивается количество WiFi точек доступа и настраиваются современные механизмы улучшения балансировки клиентов по точкам доступа и ускорения механизмов роуминга (например, включается поддержка стандартов IEEE 802.11k, IEEE 802.11v, IEEE 802.11r, рекомендуется использовать band steering/select, настраиваются threshold для принудительной дисассоциации клиентов с уровнем сигнала, приближающегося к низкому, например, -75dBm).
Одновременно с увеличением количества точек доступа увеличивается и взаимное влияние их друг на друга, например, для частотного диапазона 2,4GHz реальная интерференция в высокоплотных инсталляциях настолько велика, что не всегда возможно предоставить качественный сервис.
В итоге, для инсталляций высокой плотности мы получаем дилемму: мало точек – плохо, много – тоже плохо. Как соблюсти условие необходимого и достаточного количества оборудования при проектировании? В этом могут помочь современные инструменты планирования.
Во-первых, для начала следует рассчитать нагрузочные характеристики сети. Рассмотрим на примере, как можно использовать современные средства для планирования WiFi и моделирования различных ситуаций для таких случаев. Мы, для оценки нагрузки на WiFi сеть, используем метрику Airtime Utilization, при моделировании с помощью ПО Ekahau Site Survey Pro характеристик WiFi-сети. В случае высокоплотных инсталляций (публичные места, конференц-холлы, «мобильные» офисы), крайне важно учитывать возможную утилизацию пропускной способности WiFi-сети в зависимости от мест скопления людей. Обычно, приемлемым параметром считается расчётная утилизация спектра по времени не более 70% в высоконагруженной зоне.
Допустим, мы имеем конференц-зал на 500 человек, обычно, мы исходим из того, что большинство присутствующих будет подключено к WiFi сети, поэтому расчет производится по количеству мест = количеству клиентов. Средне пиковая нагрузка на особо значимых мероприятиях (либо наоборот особо скучных, когда все сидят в телефонах и не слушают докладчика) для такого количества людей, на практике, может составлять до 1Гбит/с. Обычно, в расчет берется 0,5-2Мбит/с в среднем на человека. Для точного прогнозирования потребления полосы, следует учесть формат проводимых мероприятий и доступную пропускную способность канала Интернет. Например, просто на обеде/фуршете пользователи будут потреблять в среднем 200Кбит/с на человека, а в момент технической сессии с доступом к внутренней лабораторной сети (кстати, для этих целей отель может организовать вещание выделенного временного SSID в соответствующих зонах, без применения политик контроля трафика) средняя нагрузка может вырасти до 2Мбит/с на человека и более.
Программно моделируемая утилизация доступной полосы пропускания в % для W-Fi сети в целом. Метрика «Airtime Utilization» для 500 одновременно работающих ненагруженных устройств <256Кбит/с на устройство, для обоих частотных диапазонов - 2,4 и 5GHz. Здесь наблюдаем, что 3 точек доступа достаточно для обеспечения базовых сервисов WiFi
Как только повышаем нагрузку с 256Кбит/с до 1Мбит/с на пользователя – сразу видим проблему:
То есть, при расчете на активных пользователей, на тот же конференц-холл, нам потребуется в 2-3 раза больше точек на тоже самое помещение:
Программно моделируемая утилизация доступной полосы пропускания в % для WiFi сети в целом. Метрика «Airtime Utilization» для 500 одновременно работающих средненагруженных устройств 1Мбит/с на устройство, для обоих частотных диапазонов - 2,4 и 5GHz
При этом желательно применять направленные секторные антенны, для возможности уменьшения мощности излучаемого сигнала и оптимизации распределения абонентов по точкам, и уменьшения зон влияния точек доступа друг на друга:
Программно моделируемый уровень сигнала от выделенной точки доступа с направленной «patch» антенной в месте скопления людей – учтена аттенюация сигнала по высоте 1,8м для рабочей частоты 2,4GHz
Даже при грамотном подходе к проектированию, часто не удается избежать ситуаций, когда к одной точке доступа в Hi-density deployment модели может подключиться одновременно большое количество устройств, например, 100. Многие точки доступа low-end класса технически неспособны взаимодействовать с большим количеством клиентов одновременно, сервис может испытывать существенную деградацию, при этом не связанную с доступностью среды. Для таких инсталляций рекомендуется использовать точки доступа hi-end класса, с мощными характеристиками производительности. Примеры таковых из современного enterprise сегмента:
Точки доступа Cisco 2802i, Ruckus R710, Zyxel NWA6553.
Пример внешнего вида направленной MIMO 4x4 антенны с универсальным монтажным комплектом для использования в hi-density инсталляциях:
В частности, некоторые точки доступа Hi-end класса имеют возможность задействовать оба своих радио-интерфейса для работы в диапазоне 5GHz (например, Cisco 28/38/4800 серий), а некоторые даже выносить этот интерфейс выделенной антенной (например, см. решение Cisco smart antenna для точек доступа Cisco 3800).
Для тех же картинок можно посмотреть, как кардинально изменится ситуация со свободной пропускной способностью WiFi сети в 5GHz диапазоне, при увеличении требований к средней пропускной способности устройств до 4Мбит/с:
Программно моделируемая утилизация доступной полосы пропускания в % для WiFi сети в целом. Метрика «Airtime Utilization» для 500 одновременно работающих средненагруженных устройств 4Мбит/с на устройство, для частотного диапазона 5GHz
При переводе нескольких точек доступа в режим 5GHz + 5GHz, ситуация несколько улучшается:
Программно моделируемая утилизация доступной полосы пропускания в % для WiFi сети в целом. Метрика «Airtime Utilization» для 500 одновременно работающих средненагруженных устройств 4Мбит/с на устройство, для частотного диапазона 5GHz
При этом клиенты, работающие в 2,4GHz, особо не пострадают, так как две рядом расположенные точки доступа, функционирующие на одном частотном канале, фактически делят доступную среду между собой пополам. Поэтому даже лучше, если, в небольшом помещении, у вас в частотном диапазоне 2,4GHz будут работать всего 3 точки доступа вместо 8-ми. Для таких инсталляций рекомендуем создать специальный «высокоскоростной» SSID, доступный для подключения только в диапазоне частот 5GHz.
Информацию по особенностям проектирования WiFi сетей для инсталляций высокой плотности так же можно найти в специализированных источниках, например, рекомендуем общедоступный документ Cisco Wireless High Client Density Design Guide.
Этап 3. Безопасность
Точки доступа, размещаемые в публичных местах, могут вызвать повышенный интерес со стороны любопытных посетителей, чаще всего подросткового возраста. Поэтому в первую очередь, при монтаже в таких областях, руководствуйтесь следующими правилами:
- монтируйте оборудование в труднодоступных для посетителей местах
- отключайте светодиодную индикацию
- используйте замки для фиксации оборудования (у большинства производителей есть специальные комплекты для монтажа для своих WiFi точек доступа, с возможностью использования фиксирующих замков)
Пример: на картинке представлена точка доступа Cisco 1832i, имеющая слот для её фиксации как «кенсингтонским замком», так и навесным замком к стандартной монтажной пластине
Имейте ввиду, что WiFi-точка доступа может быть физически похищена, соответственно, если она хранит на себе конфигурационный файл (работает автономно), то злоумышленником может быть получен доступ к конфиденциальной информации – ключам/паролям. В настоящее время эта угроза не так актуальна, как было ранее, так как сейчас, в большинстве случаев, для организации корпоративных WiFi-сетей разворачиваются решения с использованием беспроводных WiFi контроллеров. В этом случае так называемая «легковесная» (часто для обозначения WiFi-точек доступа, управляемых контроллером, используются термины lightweight, unified) точка доступа не хранит конфигурационные файлы, а скачивает настройки во временную память, при каждом подключении к сети, которые сбрасываются при её отключении.
Основной проблемой для публичного WiFi является его открытость, то есть возможность подключения к сети практически неограниченного круга лиц. Соответственно, становится возможной организация всего спектра сетевых атак на подключенное к публичной Wi-Fi сети устройство.
Большинство публичных WiFi сетей, для упрощения методов аутентификации пользователя, имеют «OPEN», то есть «открытый», метод авторизации, когда для подключения адаптера к Wi-Fi сети не требуется вводить никакого пароля. В этом случае трафик, передаваемый по беспроводной части (over-the-air), дополнительно не шифруется, поэтому злоумышленнику становится элементарно произвести атаку типа «men-in-the middle», с возможностью перехвата, прочтения передаваемых данных, либо вторжения в вашу сессию.
Как пользователю такой сети, вам следует помнить два важных правила:
- никогда не вводите ваши секретные учетные данные на Интернет-ресурсах/приложениях, не защищенных шифрованием (например, https)
- обращайте пристальное внимание на «всплывающие» окна/ошибки по сертификатам, при посещении защищенных ресурсов. Внимательно проверяйте используемые доменные имена. Не вводите конфиденциальные данные на ресурсах, где присутствуют ошибки по используемым сертификатам
Как администратору такой сети, как минимум, рекомендуем:
В случае, если трафик от гостевого SSID попадает от точек доступа прямо в сеть (в терминологии Cisco будет использоваться Flexconnect local switching), то настроить запрет на передачу данных между пользователями так же возможно – в этом вам помогут настройки port-protection или private vlan (на Cisco, в частности, можно использовать SGT - Security Group Tag) на портах коммутаторов для ESS (Extended Service Set – термин, применяемый для обозначения Wi-Fi сети, состоящей из нескольких точек доступа.
В этом случае, для запрета взаимодействия клиентов, находящихся на разных точках доступа, следует настроить запрет или контроль передачи данных по распределенной коммутационной сети) и на каждой точке доступа в отдельности – для BSS (Basic Service Set – термин, применяемый для обозначения WiFi сети, состоящей из одной точки доступа). Как это правильно сделать, можно узнать в документации производителя вашей сетевой инфраструктуры, поиск осуществлять по ключам «P2P block, deny, restrict wifi intra- inter- user/host communications».
С учетом того, что в «Central Switching» решении можно, помимо Peer-to-peer blocking, достаточно просто реализовать еще такой функционал как многоуровневый QoS (с per-user ограничением скоростей), AVC (Application Visibility and Control), то мы рекомендуем такое решение для организации публичного доступа в гостиницах.
Как защититься от атак на собственную сеть для владельца публичных WiFi сетей?
Некоторые сетевые отели согласно их «картам» обязаны решать этот вопрос самым эффективным способом – использовать физически выделенное оборудование и каналы связи для организации публичного доступа.
Но для многих наших Заказчиков такая архитектура может быть недопустима из-за финансовых или прочих соображений, поэтому классическим методом является разделение различных по назначению сетей по SSID/VLAN, с использованием соответствующих принятым правилам безопасности методам авторизации.
К сожалению, такие методы не спасают в случае кражи/подмены точки доступа, поэтому желательно:
- Логически выводить публичный VLAN на L2 в выделенную демилитаризованную (DMZ) зону на пограничном устройстве типа межсетевой экран, настроить политики однозначного запрета взаимодействия этой сети со всеми остальными внутренними либо сразу коммутировать данные в выделенного оператора для публичной сети. Не маршрутизировать публичный VLAN внутри корпоративной сети на L3 коммутаторах, при необходимости таковой – использовать выделенный VRF.
- Использовать 802.1x методы авторизации оборудования, подключаемого к проводной сети, то есть аутентифицировать не только пользователей, но и оборудование, подключаемое к коммутатору. Например, ваша WiFi точка доступа может быть отключена злоумышленником, а на её место может быть совершена попытка установки его точки доступа
- Использовать WiFi решение, предоставляющее сервисы полнофункциональной системы предотвращения вторжений на беспроводной сети (WIPS - wireless intrusion prevention system). Такие решения помогают своевременно обнаруживать и устранять угрозы.
В Российской Федерации, при организации публичного доступа к сети Интернет, лицо, предоставляющий таковой, должно соблюдать ряд законов, а именно: 97-ФЗ от 05.10.2014 года, ПП № 758 от 31.07.2014 г., № 801 от 12.08.2014г.
Общая их суть сводится к следующему:
- Пользователь должен быть однозначно физически идентифицирован (паспорт или телефон)
- Действия пользователя должны быть записаны. Пользователь должен быть идентифицирован на сетевом уровне (должны быть осуществлены сбор и хранение информации по посещению пользователем ресурсов в сети Интернет, как минимум, собрана и сохранена аккаунтинговая информация по временно́му соответствию выданных IP адресов к идентификатору пользователя)
- Пользователю должен быть недоступен «недетский» контент
В 90% случаев наши заказчики отдают данный сервис оператору, который предоставляет:
- Выделенный канал
- Кастомизированный Web портал с СМС авторизацией, в том числе с возможностью интеграции с PMS/HRS Заказчика
- Контроль действий пользователя, сбор и хранение статистики в соответствии с ФЗ
В частных случаях, и за гораздо меньшие затраты, могут использоваться сервисы «облачных» операторов подобной услуги, которые в РФ предоставляют достаточно большое количество организаций, например, https://global-hotspot.ru/
Компания LWCOM, как интегратор, обычно предоставляет коммерческие решения, обслуживаемые и устанавливаемые непосредственно на вычислительных мощностях самого заказчика (on-premises). Пример подобного ПО: WNAM - Wireless Network Access Manager производителя http://www.netams.com
Этап 4. Гостеприимство
Какие дополнительные сервисы может предоставлять ваша беспроводная сеть, предназначенная для публичного доступа?
Наиболее часто её используют в качестве транспорта для работы собственных приложений:
В случае объединения приложения со службами сбора статистики, а более того – WiFi локации (например, решение Cisco CMX - Connected Mobile Experiences), возможно:
Тот же сервис геолокации может помочь в поиске местонахождения людей, оставшихся в отеле во время ЧС, либо расследовании инцидентов, связанных с похищением пользовательских устройств.