Комментарии 15
Спасибо за подробности!
Не особо разбираюсь в функционировании беспроводных сетей, но мне кажется, что MAC «украсть» проще всего (естественно без физического доступа к устройству).
Не получится ли так, что украв каким-либо образом MAC, к тому, кто этот MAC авторизовал, придут представители в погонах?
Может есть смысл дополнительно проверять, к примеру, HTTP(s)-куку и в любом случае пропускать пользователя через каратнтин?
Не особо разбираюсь в функционировании беспроводных сетей, но мне кажется, что MAC «украсть» проще всего (естественно без физического доступа к устройству).
Не получится ли так, что украв каким-либо образом MAC, к тому, кто этот MAC авторизовал, придут представители в погонах?
Может есть смысл дополнительно проверять, к примеру, HTTP(s)-куку и в любом случае пропускать пользователя через каратнтин?
Здравствуйте! Очень интересная статья.
Хотел бы узнать: вы ли делали тот же wi-fi в общежитиях мвту?
Если да, то объясните пожалуйста почему он не работает от слова совсем?
Сеть видна, но адекватно пользоваться ею нельзя.
Например, подключение дропается с тайм-аутом в две-три минуты, нет подключения с большинства устройств, скорость не очень (когда еле подключаешься), от слова ее нет.
Резюмирую: с самого запуска этих вай-фай точек ими никто(!!!) не пользуется. Не потому что не хотим, а потому что невозможно.
Хотел бы узнать: вы ли делали тот же wi-fi в общежитиях мвту?
Если да, то объясните пожалуйста почему он не работает от слова совсем?
Сеть видна, но адекватно пользоваться ею нельзя.
Например, подключение дропается с тайм-аутом в две-три минуты, нет подключения с большинства устройств, скорость не очень (когда еле подключаешься), от слова ее нет.
Резюмирую: с самого запуска этих вай-фай точек ими никто(!!!) не пользуется. Не потому что не хотим, а потому что невозможно.
Все вопросы к г-ну Александрову. Это он куда-то закопал 24 млн.
Было две модели финансирования WiFi в общежитиях. ВУЗы могли получить субсидию и делать все самостоятельно — так поступили в основном технические подкованные универы, или получать от нас готовый WiFi со стабильной поддержкой как сервис. Бауманка получила субсидию в прошлом году. При такой модели у ДИТ, к сожалению, нет возможности мониторить работоспособность сети онлайн, ВУЗ на ежеквартальной основе предоставляет статистику загрузки сети для подтверждения ее работы. Мы передали информацию о проблеме ответственным от ВУЗ, ждем комментариев с их стороны.
Немного огорчает, что планируется аутентификация только с помощью SMS-сообщений. Применение такого способа вне общежитий может огорчить людей с нероссийским номером телефона(и без телефона) и людей со множеством устройств(телефон, планшет, ноутбук) т.к. для каждое устройство нужно регистрировать отдельно.
Например, в Карлсруэ(Германия) городской wifi организован следующим образом: в каждом месте с бесплатным wifi создаётся несколько беспроводных сетей с различными именами, со своим методом аутентификации в каждой. Например сеть с именем wkit-802.1x позволяет входить в сеть используя аккаунт своего университета(причём в унивеситете сеть называется так же, устройство подключается автоматически). Сеть с именем eduroam позволяет аутентифицироваться под локальным аккаунтом пользователя любого университета, входящего в eduroam(сейчас там университеты из 71 страны). Последние две сети: KA-sWLAN и KA-WLAN для людей не из университета. После регистрации приходит электронное письмо с логином и паролем. Пользователю дается 10 минут интернета чтобы его прочитать. Регистрация с помощью SMS тоже доступна(но только для местных симок).
Сайт городского wifi: www.ka-wlan.de/info_en.html
Точно такие же сети ловятся в общежитиях.
Например, в Карлсруэ(Германия) городской wifi организован следующим образом: в каждом месте с бесплатным wifi создаётся несколько беспроводных сетей с различными именами, со своим методом аутентификации в каждой. Например сеть с именем wkit-802.1x позволяет входить в сеть используя аккаунт своего университета(причём в унивеситете сеть называется так же, устройство подключается автоматически). Сеть с именем eduroam позволяет аутентифицироваться под локальным аккаунтом пользователя любого университета, входящего в eduroam(сейчас там университеты из 71 страны). Последние две сети: KA-sWLAN и KA-WLAN для людей не из университета. После регистрации приходит электронное письмо с логином и паролем. Пользователю дается 10 минут интернета чтобы его прочитать. Регистрация с помощью SMS тоже доступна(но только для местных симок).
Сайт городского wifi: www.ka-wlan.de/info_en.html
Точно такие же сети ловятся в общежитиях.
Пара картинок
Ещё есть очень технический вопрос: как обеспечивается защита данных от прослушивания с использованием аутентификации по mac-адресу?
А именно: откуда берутся ключи для шифрования(PMK)? Если они pre-shared, то как именно они шарятся между точкой доступа и устройством? Если они получаются с помощью EAP, то какие конкретно методы используются?
А именно: откуда берутся ключи для шифрования(PMK)? Если они pre-shared, то как именно они шарятся между точкой доступа и устройством? Если они получаются с помощью EAP, то какие конкретно методы используются?
Скажите, а построенные операторами решения позволяют собирать и предоставлять ежемесячную отчетность, как того требует регламент ДИТ для ВУЗов-получателей гранта на бесплатный студенческий интернет в общагах, а именно:
i. Пропускная способность каждой точки доступа для входящего и исходящего трафика
ii. Объем переданной информации по каждой точки доступа для входящего и исходящего трафика
iii. Пропускная способность общего канала связи Интернет для входящего и исходящего трафика
iv. Объем переданной информации по общему каналу связи Интернет для входящего и исходящего трафика
v. Количество одновременно подключенных пользователей по каждой точке доступа
vi. Время неработоспособности сети с детализацией по каждой точке доступа
Обеспечивается ли также однократное перенаправление сессии на wifi.mos.ru/students?
И наконец, как обеспечивается соблюдение Федерального закона Российской Федерации от 5 мая 2014 г. N 97-ФЗ, требований Постановлению Правительства № 758 от 31 июля 2014 г. и № 801 от 12 августа 2014 г.?
Замечу, что «для не очень богатых маленьких общежитий», кто не может позволить себе купить HP 870 Unified Wired-WLAN Appliance и Cisco CRS-3, можно посоветовать дешевую альтернативу контроля WiFi доступа
i. Пропускная способность каждой точки доступа для входящего и исходящего трафика
ii. Объем переданной информации по каждой точки доступа для входящего и исходящего трафика
iii. Пропускная способность общего канала связи Интернет для входящего и исходящего трафика
iv. Объем переданной информации по общему каналу связи Интернет для входящего и исходящего трафика
v. Количество одновременно подключенных пользователей по каждой точке доступа
vi. Время неработоспособности сети с детализацией по каждой точке доступа
Обеспечивается ли также однократное перенаправление сессии на wifi.mos.ru/students?
И наконец, как обеспечивается соблюдение Федерального закона Российской Федерации от 5 мая 2014 г. N 97-ФЗ, требований Постановлению Правительства № 758 от 31 июля 2014 г. и № 801 от 12 августа 2014 г.?
Замечу, что «для не очень богатых маленьких общежитий», кто не может позволить себе купить HP 870 Unified Wired-WLAN Appliance и Cisco CRS-3, можно посоветовать дешевую альтернативу контроля WiFi доступа
В рамках сервисной модели требования к отчетности от операторов практически аналогичны требованиям к отчетности от ВУЗов получивших субсидию.
Кардинальных различий несколько:
1. Операторы предоставляют отчетность ежемесячно, а не ежеквартально как ВУЗы (а при необходимости ДИТ может запросить статистику за день или за неделю);
2. Работоспособность сети мониторится непосредственно ДИТ.
Перенаправление на стартовую страницу wifi.mos.ru обеспечивается не только в общежитиях, а во всех публичных сетях, организованных ДИТ по госконтрактам.
Так как ДИТ не является оператором связи, соблюдение требований Федерального закона Российской Федерации от 5 мая 2014 г. N 97-ФЗ равно как и Федерального закона от 27 июля 2006 года N 149-ФЗ находится в зоне ответственности оператора – исполнителя государственного контракта.
Исполнение требований Постановления Правительства № 758 от 31 июля 2014 г. и № 801 от 12 августа 2014 г. обеспечивается SMS-авторизацией, в дальнейшем планируется также внедрить возможность авторизации через связку логин/пароль от электронных сервисов мэрии.
Кардинальных различий несколько:
1. Операторы предоставляют отчетность ежемесячно, а не ежеквартально как ВУЗы (а при необходимости ДИТ может запросить статистику за день или за неделю);
2. Работоспособность сети мониторится непосредственно ДИТ.
Перенаправление на стартовую страницу wifi.mos.ru обеспечивается не только в общежитиях, а во всех публичных сетях, организованных ДИТ по госконтрактам.
Так как ДИТ не является оператором связи, соблюдение требований Федерального закона Российской Федерации от 5 мая 2014 г. N 97-ФЗ равно как и Федерального закона от 27 июля 2006 года N 149-ФЗ находится в зоне ответственности оператора – исполнителя государственного контракта.
Исполнение требований Постановления Правительства № 758 от 31 июля 2014 г. и № 801 от 12 августа 2014 г. обеспечивается SMS-авторизацией, в дальнейшем планируется также внедрить возможность авторизации через связку логин/пароль от электронных сервисов мэрии.
Круто, че… Жаль, что я уже не студент :)))
Проект «золотой» как в плане стоимости железа, так и ПО.
Автору наверняка будет интересно ознакомиться с сетью c2free в СЗАО, они бы развернули в разы дешевле сеть с более высокой отказоустойчивостью и бесшовную.
Автору наверняка будет интересно ознакомиться с сетью c2free в СЗАО, они бы развернули в разы дешевле сеть с более высокой отказоустойчивостью и бесшовную.
Я так понимаю одно GPON подключение на одно здание? Какая скорость — 1 Гбит/с?
Трафик точек доступа из-за большого числа абонентов должен быть достаточно плотным. Коллизий не возникает? Если не ошибаюсь в GPON используется общий для всех абонентов нисходящий поток?
Трафик точек доступа из-за большого числа абонентов должен быть достаточно плотным. Коллизий не возникает? Если не ошибаюсь в GPON используется общий для всех абонентов нисходящий поток?
Подключения проектировались оператором из расчета установки оптической коробки (ОРК) в каждое здание вузов.
При этом в случае высокоскоростных каналов ОРК подключалось на отдельное «дерево» GPON (при этом максимальная пропускная способность «дерева» составляет: downstream 2,5 Гб/с и upstream 1,25 Гб/с).
Коллизий не возникает ввиду использования синхронизации между всеми передающими устройствами (согласно стандарту ITU G.984.1).
На некоторые объекты вузов ввиду высоких требований по пропускной способности канала (> 1,5 Гб/с), оптический кабель строился по технологии FTTB с установкой маршрутизаторов Fortigate.
При этом в случае высокоскоростных каналов ОРК подключалось на отдельное «дерево» GPON (при этом максимальная пропускная способность «дерева» составляет: downstream 2,5 Гб/с и upstream 1,25 Гб/с).
Коллизий не возникает ввиду использования синхронизации между всеми передающими устройствами (согласно стандарту ITU G.984.1).
На некоторые объекты вузов ввиду высоких требований по пропускной способности канала (> 1,5 Гб/с), оптический кабель строился по технологии FTTB с установкой маршрутизаторов Fortigate.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Городской Wi-Fi на примере общежитий ВУЗов Москвы