Wi-Fi по паспорту? Как реализовать технически

    31-го июля Правительство Российской Федерации утвердило 758-е Постановление “О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей”, которое эксперты и журналисты очень быстро окрестили “законом о wi-fi по паспорту”. Мы сейчас не будем трактовать данный нормативный акт с точки зрения, пытаясь выяснить, распространяется он только на пункты коллективного доступа на “Почте России” или имеет более широкое применение. Этим пусть занимаются юристы. Мне бы хотелось посмотреть на его техническую реализуемость.

    Как оказалось, ничто не ново под луной и идея проверки пользователей перед подключением к какому-либо ресурсу возникает в реальной жизни достаточно часто. Например, если вы посетите офис Cisco и захотите выйти в Интернет, то вам будет предоставлен гостевой доступ, для получения которого вам надо будет на специальной Web-страничке указать свой логин и пароль, полученные на reception или от человека, к которому вы пришли на встречу (а они в свою очередь оформляют такой доступ на специальном гостевом портале). С аналогичным сервисом мы сталкиваемся в гостиницах или кафе, желая воспользоваться платным или бесплатным выходом во Всемирную сеть. И вообще примеров гостевого доступа в Интернет, при котором требуется указание каких-либо реквизитов, может быть предложено большое множество. Так что если вдуматься и отбросить эмоции, требования 758-го Постановления Правительства не являются чем-то уникальным с технологической точки зрения.

    Любой из указанных сценариев может быть реализовать с помощью Cisco Identity Service Engine (ISE), который является централизованной системой контроля проводного и беспроводного, внешнего и внутреннего доступа. Есть в Cisco ISE и подсистема организации гостевого доступа (Guest Access), которая позволяет упорядочить и автоматизировать процесс гостевого подключения, состоящий из 4-х этапов:

    • предоставление гостевого доступа и проверка привилегий
    • уведомление гостя о создании гостевой учетной записи
    • настройка работы гостевого портала и лиц, имеющих право предоставления гостевого доступа
    • отчетность.


    Проиллюстрирую данные этапы некоторыми скриншотами, которые лучше всего расскажут, что такое организация гостевого доступа с помощью Cisco ISE. Первый наш шаг — определить способ гостевого доступа. Гостевая учетная запись может быть создана так называемым спонсором, гостем самостоятельно или доступ может быть организован вовсе без создания учетной записи. В корпоративной среде обычно применяется первый метод, в общественных местах второй или третий. 758-е Постановление Правительства говорит только о втором способе подключения.

    Портал управления гостевым доступом

    Следующим нашим шагом является указание информации, которую мы хотим получить от пользователя. Помимо имени и фамилии мы можем запросить и дополнительные сведения. Например, e-mail или номер мобильного телефона для отправки логина и пароля к учетной записи. 758-е Постановление требует указания еще и сведений о документе, удостоверяющем личность, что также возможно реализовать с помощью Cisco ISE.

    Настраиваемые поля, требуемые для регистрации гостевой учетной записи

    По каждой учетной записи можно указать различные временные ограничения (например, число попыток входа, время жизни учетной записи) и принадлежность к группе, которой можно устанавливать дополнительные ограничения по доступу к различным внешним или внутренним (например, принтеру) ресурсам. Все сделанные настройки визуализируются в виде понятной блок-схемы.

    Визуализация настроек гостевого доступа

    При необходимости всегда можно проконтролировать созданные учетные записи и их статус. Например, статус “AWAITING INITIAL LOGIN” может означать как и только что созданную учетную запись, так пользователя, который направил запрос на гостевой доступ, но так им и не воспользовался.

    Список созданных учетных записей

    После создания учетной записи пользователь должен получить логин и пароль (если мы включили режим доступа по логину/паролю, а не доступ без регистрации). Сделать это можно по-разному. Можно распечатать на принтере и принести гостю вместе с меню.

    Пример распечатанных реквизитов доступа

    Можно отправить на e-mail (правда, у гостя должен быть к ней доступ):

    Пример реквизитов, полученных на e-mail

    А можно поступить и так, как упоминали в Минкомсвязи, — отправить реквизиты доступа по SMS.

    Пример присланных по SMS реквизитов доступа

    Дальше пользователь осуществляет процедуру доступа, указывая на Web-странице в браузере полученные логин и пароль. Отображаться такая страница может по-разному. Например, по умолчанию страница гостевого доступа выглядит так:

    Страница указания реквизитов для гостевого доступа

    Но такой вариант банален и мало кому интересен. С помощью Cisco ISE Template Builder можно создать собственные гостевые порталы (на разных языках, включая и русский, с использованием собственного стилевого решения, своим логотипом, оптимизацией под мобильные устройства и т.п.).

    Кастомизированный гостевой портал, оптимизированный под мобильные устройства

    Очень интересным представляется возможность обязательного согласия с правилами предоставления гостевого доступа (так называемые политика допустимого использования, AUP). Несогласие с ней (например, в нее можно включить согласие на передачу и иные формы обработки персональных данных владельцем точки беспроводного доступа и определенных третьих лиц), может повлечь за собой отказ в доступе к бесплатному Wi-Fi.

    Политика допустимого использования при гостевом доступе

    Требование 758-го Постановления Правительства о хранении информации о доступе гостей в Интернет также может быть реализовано. Cisco ISE может визуализировать как высокоуровневую статистику гостевого доступа:

    Высокоуровневая статистика гостевого доступа

    так и детальные сведения о посещаемых ресурсах. Также возможна регистрация и хранения идентификаторов устройств, используемых для гостевого доступа.

    Детальная статистика гостевого доступа

    На этом можно было бы и завершить рассказ про способы реализации Постановления Правительства от 31.07.2014 №758, если бы не одно “но”. Остался неотвеченным вопрос “Как проверить достоверность сведений о документе, удостоверяющем личность?” Сразу скажу, что в самом Постановлении такого вопроса нет. В нем требуется всего лишь указание таких сведений, но не их проверка. Однако я допускаю, что такой вопрос может все равно встать. Можно ли его реализовать с помощью Cisco ISE? Да, можно.

    Аналогичная задача нами реализовывалась в Турции для одного из крупнейших турецких банков, перед которым встала задача — обеспечить защищенный доступ клиентов к некоторым банковским ресурсам с обязательным предоставлением и проверкой паспортных данных. Кстати, в России также есть требование Банка России по проверке действительности паспортных данных для клиентов банков по базе Федеральной миграционной службы (ФМС). Может ли Cisco ISE решить такую задачу? Самостоятельно нет. К сожалению, разработчики Cisco не знают, как устроена работа ФМС или ГИБДД, через базы которых отдельные чиновники и депутаты предлагают проверять подлинность документа, удостоверяющего личность гостя, пожелавшего выйти в Интернет через бесплатный или платный Wi-Fi. Однако в Cisco ISE существует специальный ISE REST API для взаимодействия с внешними системами. Именно с помощью этого API и было разработано одним нашим партнером промежуточное ПО, которое получало реквизиты доступа (ФИО, номер паспорта, дата рождения, номер мобильного телефона) и отправляло их на проверку в государственную базу данных Турции. В случае положительного ответа то же промежуточное ПО создавало гостевую учетную запись на ISE и затем посылало SMS клиенту банка с реквизитами доступа. После установленного таймаута это же ПО удаляло временную учетную запись. Учитывая существование в России автоматизированных сервисов проверки действительности паспортов я не вижу больших сложностей “прикрутить” их к Cisco ISE.

    Резюмируя, хочу отметить, что необходимость в гостевом доступе возникает в последнее время достаточно регулярно и с помощью системы контроля доступа Cisco ISE можно реализовать даже самые нетрадиционные сценарии такого подключения.
    Cisco
    175,00
    Cisco – мировой лидер в области сетевых технологий
    Поделиться публикацией

    Комментарии 31

      +42
      Черенки от швабр — чем полировать, сорта вазелина, за, против, подводные камни…
        +8
        А также уникальное предложение мирового производителя швабр!
          +7
          Вместе с бесплатной упаковкой высококачественного отечественного вазелина! Поддержи отечественного производителя! УРА!
        +4
        А если подставить MAC адрес, только что ушедшего клиента, то получиться перехватить его сессию?
          0
          Перехватить или выдать себя за него? Правильная настройка инфраструктуры не позволит ни того (за счет MACSec), ни другого (за счет profiling). Но если ничего не настраивать, то…
            0
            Выдать себя за него, уже авторизовавшегося «по паспорту». Не очень понял как MACSec поможет защититься от подмены мака. И как работает profiling не подскажите? Или был бы признателен, если бы отправили куда нибудь почитать об этом.
              +1
              От подмены MAC защитит сразу несколько технологий, в частности 802.1x. MACSec защитит трафик от перехвата. Профилирование поможет распознать тип устройства, ОС и ряд других параметров, которые злоумышленнику придется клонировать на своем устройстве, чтобы выдать себя за подменяемое. Но в этом случае включатся другие механизмы защиты. Почитать можно на www.cisco.com/go/ise и www.cisco.com/go/trustsec
            0
            Если используется 802.1x для аутентификации, это достаточно бессмысленное занятие.
            +12
            Интересно, мне одному пост показался прямой рекламой Cisco?
              +7
              Насколько мне известно, данная компания еще поставляет оборудование для Китайского фаервола. «Это просто бизнес, ничего личного!»
                +21
                Да что Вы, откуда бы взяться рекламе Cisco в корпоративном блоге Cisco?
                +4
                И что же дальше? Смена MAC-адреса — уголовное преступление? =(
                  0
                  Автор техноблога Techdirt Майк Масник (Mike Masnick) вспомнил, что интернет-активиста Аарона Шварца клеймили за то, что он подменял MAC-адрес своего компьютера при скачивании научных документов из сети JSTOR. Из-за судебного преследования за несанкционированный доступ к этим файлам и угрозы длительного заключения Шварц в январе 2013 года покончил с собой.

                  tjournal.ru/paper/mac-spoofing
                    0
                    Вы не поверите (с) www.zakonrf.info/uk/274/
                    Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
                    [Уголовный кодекс РФ] [Глава 28] [Статья 274]

                    1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, — наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

                    2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, — наказывается принудительными работами на срок до пяти лет либо лишением свободы на тот же срок.
                      0
                      Ну и ещё можно ознакомиться со статьями 272 и 273, а также правоприменительной практикой по ним.
                        0
                        Ничего себе! Где мы живём??!? Да пусть они в ж*** идут с такими законами! Валю из страны!
                      +3
                      Верной дорогой идёте товарищи! =)
                        +1
                        Как верно уже замечалось: на сегодняшний день для большинства (конечно, не для всех случаев: «анонимные» симки были есть и будут) код подтверждения по СМС на телефон будет вполне себе эквивалентен входу по паспорту, т.к. номер связан с документом напрямую.
                        А для того меньшинства, кто анонимизируется, и более сложные методы персонализации доступа будут обходимы…
                          0
                          Да, но вариант аутентификации по симке сложнее, т.к. требует взаимодействия владельца точки доступа и оператора мобильной связи
                          +6
                          Cisco выражает готовнось идти в ногу со временем и заказами. Спасибо вам за помощь в подымании России с колен. Да прибудут с вами духовные скрепы.

                          Приятно читать всякие умные вещи, но не в таких случаях. Для чинуш можно было разослать готовое предложение состоящее из трёх слов «Мы уже можем». А не постить на Хабр в надежде, что «кто надо» заметит и обратит внимание, и обратится к вам за помощью в освоении бюджета.

                          Чувство прям гадкое внутри от этого материала.
                            +3
                            Присоединяюсь к ощутившим гадкое чувство.

                            Алексей, ваши блогозаписи как «независимого» эксперта намного человечнее, чем ваши же блогозаписи как сотрудника компании Cisco.
                              0
                              Данный вопрос нам за последние 3 дня задали уже несколько раз. И задали не чиновники, которых не волнует реализация данного нормативного акта. Спрашивают владельцы точек доступа, установленных в гостиницах, ресторанах и других общественных местах. Многие из них уже использует ISE для контроля доступа. Заметка описывает как уже установленное решение применить и для актуальной задачи. Вопрос политической и юридической оценки данного нормативного акта я специально не поднимаю, о чем и написал выше.
                                +2
                                Вы как взрослые люди должны понимать контекст. Если я скажу например «если трахать девушку с умом и фантазией, то ей понравится». И тут вроде спорить не с чем, и большинство согласится. Но если эту фразу во всеуслышание сказать на суде за жестокое изнасилование, то это же большинство может и убить.

                                По этому, да — материал хабровый, настройка по сути не привязана к паспорту и может применяться в других случаях, и да — точкопредоставлятели озабочены, но… Мне как тому, кто от этого пострадает, видеть ваш пост радости не доставляет. Такие дела.
                                  +1
                                  Так я и не спорю даже :-( Есть ТЕХНИЧЕСКАЯ задача, описание которой дано в материале. ЭТИЧЕСКУЮ/ПРАВОВУЮ сторону проблемы я бы не хотел освещать. Как минимум, все может поменяться (есть такая вероятность и она совсем ненулевая). А как максимум, может произойти и вовсе такое, что проблема хождения в Интернет по паспорту покажется такой мелочью (не хотелось бы). Например, полное блокирование Интернет на границе РФ…
                              +1
                              Обычный хотспот. Реализуется за полчаса с помощью chillispot/coovachilli. Веб-морда реализуется с помощью daloRADIUS.

                              По теме закона:
                              Надеюсь, кто-нибудь «там» догадается выпустить API для гос.услуг.
                                0
                                1. Авторизация через соцсети. Красивый и удобный ход. У нас государство сейчас ими очень активно интересуется, уверен, рано или поздно начнется борьба с фейками, если уже не началась. В любом случае, даже страница фейка имеет обязательную привязку к номеру мобильного телефона, за которым в 99% случаев стоит паспорт реального человека. Ничтожный, на самом деле, процент параноиков с левыми симками никого не интересует. Почти ничего не изменит, а, главное, не вызовет (у большинства) подозрений.
                                2. Некий иной аналог OpenID от государства a-la Госуслуги. Настолько же геморройно, насколько и получение данного ID. Хотя, учитывая подвиги в направлении карточек-ID вместо паспортов, в обозримом будущем вполне возможно.
                                3. Ввод непроверяемых ФИО и скана паспорта. Маловероятный вариант, по очевидным причинам.
                                4. Самый маразматичный, для точек на Почте России: ручное занесение в базу сотрудником, выдача логина/пароля.
                                  0
                                  1. Не гарантирует ничего, т.к. куча регистраций идет под непонятными никами, а привязка к номеру мобильного есть далеко не у всех. Те, кто не захочет, чтобы их контролировали, не будет привязываться. Про иностранцев и вовсе молчу.
                                  2. Есть такой аналог — ЕСИА
                                  3. Не совсем понял
                                  4. Если будет ЕСИА, то регистрация там заменит и Почту России и госуслуги
                                    0
                                    1. Можно сделать авторизацию только через VK и OK, потому что:
                                    а) они покрывают абсолютное большинство интернет-пользователей в России;
                                    б) привязка номера телефона в них обязательна;
                                    в) это чисто российские социальные сети, и проблемы с зарубежными спецслужбами снижены до минимума.
                                    Ещё раз, процент параноиков и иностранцев ничтожно мал и никого не интересует. В любом случае, это возможно как альтернативный вариант логина;
                                    2.Отсюда я понял, что получать оный ЕСИА нужно через те же госуслуги. Смысла в замене шила на мыло я не вижу.
                                    3. Ну, допустим, у вас вместо логин-формы требование ввести ФИО и серию-номер паспорта. Опционально прикрепить фото. Почему нет?
                                    4. См. п. 2.
                                      0
                                      Если я правильно понимаю логику идеологов ПП-758, то задача контролировать не законопослушных пользователей, а как раз тех, кто пытается скрыть свои «черные» дела под покрововм анонимности. А такие пользователи (террористы, экстремисты, оппозиционеры) будут стараться «спрятаться» за левыми логинами и фейковыми аккаунтами.

                                      Если бы цель законопроекта была контролировать и не мешать, то регистрации через социальные сети хватило бы за глаза
                                  0
                                  А решение позволяет один раз зарегистрировать и аутентифицировать устройство через веб-форму, а потом автоматически давать ему доступ к WI-Fi без повторных запросов аутентификации? Например, запомнить его MAC.
                                    0
                                    Да, это можно сделать, но не рекомендуется. Все-таки MAC можно подменить

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое