По закону анонимные пользователи должны передавать свои данные при подключении к публичным сетям Wi-Fi. Из-за этого владельцы таких Wi-Fi-точек предоставляют доступ только после авторизации. Разбираемся, как и зачем подтверждать свою личность, что при этом происходит и можно ли иначе пользоваться публичным Wi-Fi.
На всякий случай вспомним основные понятия:
- Аутентификация проверяет, что это именно вы пытаетесь получить доступ. Для этого нужны логин и пароль, а если аутентификация двухфакторная — ещё подтверждение по номеру телефона, почте или в приложении.
- Авторизация определяет вашу роль и границы доступных вам действий: пользователь, администратор и так далее.
Так что на самом деле идентификация пользователя при подключении к публичному Wi-Fi состоит в аутентификации, а не авторизации. Но для простоты мы будем пользоваться более привычным словом.
Зачем нужна авторизация в публичном Wi-Fi
В 2014 году Правительство РФ изменило порядок идентификации, определённый Федеральным законом «Об информации, информационных технологиях и о защите информации». Если есть публичная точка доступа, то её владелец должен обеспечить авторизацию пользователей (чтобы, если кто-то сделает что-то незаконное, было понятно, кто именно). Чтобы не регистрировать всех пользователей самостоятельно, владельцы публичных Wi-Fi-точек подключают авторизацию через доверенные базы данных.
Идентификация возможна тремя способами:
- По документу, удостоверяющему личность: паспорт, водительское удостоверение, военный билет.
- Через учётную запись на сайте Госуслуг.
- По номеру мобильного телефона.
Авторизация через социальные сети не считается, потому что так личность пользователя нельзя идентифицировать однозначно.
Авторизация по номеру мобильного телефона имеет такую же силу, как по паспорту или аккаунту на Госуслугах, потому что у оператора сотовой связи есть все нужные данные пользователя. Так написано в законе «О связи»: услуги можно оказывать только тем, кого можно идентифицировать, — а делают это по паспорту или временному удостоверению. С 2018 года операторы также обязаны проверять, кто пользуется номером — заключивший договор или кто-то другой. Если данные сомнительны, оператор обязан их уточнить или отключить связь такому абоненту — по крайней мере, таков закон.
Доступ к интернету в публичных местах также можно получить по билету или ваучеру — например, в аэропорту, гостинице или на конференции. В этом случае система автоматически генерирует логин и пароль для каждого документа. При этом не нужно предоставлять персональные данные, поскольку пользователь уже сделал это, например, при покупке, заселении или регистрации.
Что раскрывает пользователь: личность и MAC-адрес
При авторизации в публичном Wi-Fi определяется не только личность пользователя, но и MAC-адрес устройства, с которого он подключается к сети (Media Access Control Address). Такой уникальный идентификатор присваивают каждой сетевой карте.
Если вы хотите узнать MAC-адрес сетевой карты в компьютере, откройте командную строку и выполните команду:
- Для Windows:
ipconfig /all. Ищите строку physical address в разделах Ethernet или Wi-Fi; - Для MacOS:
ifconfig. Если в устройстве есть Ethernet разъём, MAC-адрес будет в разделе en1, если нет — в разделе en0; - Для Linux или Unix введите в SSH-консоли одну из этих команд:
ifconfig -aip aip address showip link list-a.
Если хотите посмотреть MAC-адрес сетевой карты в смартфоне или планшете, это можно сделать в разделе «Настройки»:
- На iOS и iPadOS — «Основные» → «Об этом устройстве» → «Адрес Wi-Fi».
- На Android путь к этой информации бывает разным, поскольку определяется производителем. Примерный путь будет такой: «О телефоне» → «Общая информация» (или «Статус») → «MAC-адрес Wi-Fi устройства».
MAC-адрес записывается в шестнадцатеричной системе, состоит из 12 символов через двоеточие и выглядит как F0:18:98:00:1F:03. Первые шесть символов обозначают производителя, вторые — конкретную сетевую карту.
Как авторизация в публичном Wi-FI выглядит для пользователя
- Пользователь хочет подключиться к публичному Wi-Fi и открывает на своём устройстве список доступных сетей.
- Находит имя нужной Wi-Fi-сети и выбирает её.
- В браузере открывается страница авторизации (Captive Portal). Обычно на ней указано несколько способов — наш пользователь выбирает авторизацию по номеру телефона.
- Он вводит свой номер телефона или звонит по указанному бесплатному номеру.
- В зависимости от способа на предыдущем шаге пользователю звонит робот или приходит SMS с кодом. Если пользователь сам позвонил по указанному номеру, доступ появится без кода.
- Пользователь вводит в окне авторизации код подтверждения, например четыре последние цифры номера входящего вызова или комбинацию из SMS.
Что происходит внутри
Когда пользователь открывает на своём устройстве список доступных сетей Wi-Fi, ближайшие точки доступа передают ему свои SSID (Service Set Identifier). Это названия, которые служат для идентификации точек среди устройств, подключённых к интернету.
После того как пользователь выбирает имя нужной публичной сети, он получает ограниченный доступ в интернет: открыть можно только те сайты, которые определил владелец сети. Например, это может быть страница меню в кафе или внутренний портал в метро.
Когда подключение установлено, устройство пользователя проверяет доступность интернета, отправляя запросы на специальные сайты. Для устройств Apple это captive.apple.com, а для устройств с ОС Android — несколько адресов, например connectioncheck.gstatic.com или connectivitycheck.gstatic.com.
Так как доступ без авторизации ограничен, эти сайты будут недоступны, и роутер перенаправит пользователя на страницу авторизации (Captive Portal). Эта страница — заглушка в сети провайдера. Точка доступа будет перенаправлять на неё устройство при любой попытке выйти в интернет за пределы определённых владельцем сети внутренних ресурсов.
Когда пользователь вводит свой номер мобильного телефона или звонит сам по указанному на странице авторизации, введённые данные загружаются в хранилище — какое именно, зависит от настроек Captive Portal. Номер телефона передаётся оператору сотовой связи или SMS-агрегатору, чтобы пользователь мог позвонить, чтобы ему позвонил робот или пришло SMS с кодом.
После звонка пользователя по указанному номеру или ввода комбинации цифр страница Captive Portal получает информацию об успешной авторизации и отправляет эту информацию на точку доступа, то есть на роутер.
Роутер отправляет эту информацию на сервер протокола RADIUS (Remote Authentication Dial-In User Service). Протокол проверяет данные пользователя по своей или внешней базе данных и принимает финальное решение о предоставлении доступа.
Если данные пользователя верны, сервер RADIUS возвращает роутеру ответ с разрешением доступа. Роутер предоставляет доступ в интернет на разрешённые законодательством ресурсы.
При повторном подключении к той же публичной сети страница Captive Portal загрузится снова, даже если данные о пользователе сохранились. Так происходит потому, что процесс авторизации всегда проходит по той же схеме, просто браузер отсылает роутеру уже сохранённые данные о пользователе.
Для осуществления всего этого сценария у владельца Wi-Fi сети есть два варианта:
- Самому заморочиться с настройкой Captive Portal, хранением базы данных пользователей и заключить все нужные договоры.
- Воспользоваться готовыми решениями провайдеров или компаний по проведению авторизации и просто платить абонентскую плату.
Почему авторизация может не работать
Авторизация в публичном Wi-Fi может не работать по нескольким причинам:
- Смартфон увидел, что роутер не даёт доступ в интернет по Wi-Fi, и подключился к интернету по сотовой связи.
- Страница Captive Portal может не открываться автоматически — в таком случае нужно открыть в браузере любой сайт. Роутер перенаправит вас на Captive Portal для авторизации.
- Иногда в браузере появляется ошибка безопасности Security Error. Скорее всего, роутер пытается перенаправить вас на страницу авторизации со страницы, которая работает по HTTPS. Это защищённый протокол, который запрещает такое перенаправление. Попробуйте открыть страницу, которая работает по HTTP, например neverssl.com.
- Если не загружаются ни страница авторизации, ни neverssl.com, скорее всего, проблема в настройках точки доступа или у провайдера. Нужно обратиться в поддержку точки доступа, к которой вы пытаетесь подключиться.
Можно ли сделать такое на своём домашнем роутере?
Да. Для этого понадобятся:
- Wi-Fi-контроллер или роутер с поддержкой возможности авторизации по звонкам и SMS.
- Сервер для размещения на нём Captive Portal и базы данных для хранения информации о пользователях.
- Собственный Captive Portal — страница с нужной информацией и инструкциями для подключения.
- Поставщик SMS-сервисов или звонков. Многие из них работают только с юридическими лицами.
Всё это нужно будет связать в одну работающую систему авторизации.
Получается, владелец точки доступа будет видеть всё, что я делаю в интернете?
Да, точно так же, как это может сделать владелец любой другой, даже домашней точки доступа, к которой вы подключаетесь.
На некоторых моделях роутеров историю посещений можно посмотреть по умолчанию. На большинстве будут видны только IP-адрес, MAC-адрес и имя устройства:
Но если подключить дополнительные программы, список доступной информации расширится. Владелец точки Wi-Fi сможет узнать:
- MAC-адрес и IP-адрес пользователя.
- Сайты, которые он посещал.
- Весь трафик с незашифрованных HTTP-сайтов, включая логины и пароли.
- Время посещения конкретных сайтов и длительность пребывания на них.
- Используемые программы или приложения.
- Данные VoIP- и Wi-Fi-звонков.
- Сообщения из мессенджеров.
Что именно знает хозяин точки доступа, зависит от нескольких факторов: безопасности соединения, маркировки пакетов данных, программ для перехвата данных и анализа трафика.
Главное — помните, что полной защищённости нет. Приложив усилия, можно посмотреть даже трафик на HTTPS-сайтах. Поэтому, если вы работаете с какими-то важными данными — никогда не делайте этого через публичную сеть Wi-Fi.
