Опубликовано в журнале «Индустрия красоты», № 2, 2013 (подробнее о журнале — здесь).
От редакции «Индустрии красоты»
Wi-Fi для клиентов, страждущих красоты, — уже не в диковинку. Это в первую очередь удобство и возможность (для гостей, разумеется) тратить время на себя, не теряя его для своей работы. Безусловно, на сегодня такая фишка прежде всего востребована руководителями и другими высокооплачиваемыми специалистами, ценность или стоимость часа работы которых чрезвычайно высока. В свою очередь нынешняя молодежь жаждет быть всегда «в Сети» и (впрочем, как и все) чрезвычайно любит халяву. Поэтому давайте посмотрим, как организовать общественный Wi-Fi в салоне, обеспечив безопасность доступа для самого салона как бизнеса.
Николай Юркин, специалист по IT-безопасности
Доступный Wi-Fi — это нормальная мировая практика, пока, к сожалению, не прижившаяся в Беларуси. Даже в нашей столице не так много мест, где посетителям предлагают услугу бесплатного доступа в Сеть, хотя для многих наличие интернета может стать существенным фактором при выборе того или иного заведения. И это при том, что стоимость организации заведением такой услуги для клиентов на самом деле невелика.
В данной статье я рассмотрю возможные варианты организации Wi-Fi-доступа с точки зрения доступности, удобства и безопасности.
Сразу должен заметить, что в плане безопасности Wi-Fi доступ — это не самое лучшее решение, так как данные передаются по радиоканалу и их можно перехватить. Существующие на сегодня технологии, позволяющие действительно надежно защитить трафик пользователя от прослушки, подходят только для корпоративного пользования и мало пригодны для организации общественного доступа, так как помимо прочего требуют индивидуальной настройки на стороне пользователя — а некоторые мобильные устройства и вовсе могут не поддерживать такой тип безопасного подключения.
Поэтому при организации беспроводного доступа для клиентов вам в первую очередь следует руководствоваться удобством пользования и подключения, а не безопасностью, так как тот, кто захочет прослушать трафик, — прослушает, а тот, кто обеспокоен конфиденциальностью своих данных в интернете, не станет полагаться на настройки безопасности точек доступа Wi-Fi, которые ему не подконтрольны.
Тем не менее, для организации общественного доступа в вашем заведении вы можете задать определенные правила безопасности — не только для своих клиентов, но и в определенном смысле для себя.
1. Самый простой и открытый тип доступа — без авторизации и без шифрования. При подключении к такой сети устройство пользователя обычно предупреждает, что данная точка доступа не защищена или open — открыта. Это самый простой способ подключения: вы позволяете всем и каждому пользоваться вашим Wi-Fi-соединением и вас совершенно не заботит кто, как и для чего будет к нему подключаться. Такой вариант отлично подходит, если у вас быстрое и безлимитное подключение к провайдеру и вы не хотите или не имеете возможности давать листочек с паролем от точки доступа каждому клиенту.
Для организации такого вида доступа вам потребуется обычная Wi-Fi-точка доступа (маршутизатор) или, если вам необходима большая зона покрытия, несколько таких устройств. Их стоимость варьируется в зависимости от характеристик, и начальная цена в китайских интернет-магазинах начинается с 10 $.
2. Второй вариант — с авторизацией и шифрованием. В данном случае при подключении к сети точка доступа затребует от клиента ввод секретного пароля, если пароль верен — клиент получает доступ. Решение с шифрованием и авторизацией по паролю имеет смысл, когда вы не хотите по тем или иным причинам, чтобы доступ в интернет получали не ваши посетители, ведь по своей природе Wi-Fi — технология беспроводной связи и радиосигнал от точки доступа может быть доступен далеко за пределами вашего заведения. При таком варианте подключения трафик, передающийся по радиоканалу, еще и шифруется, что затрудняет его анализ.
По сравнению с решением без авторизации у варианта с авторизацией и шифрованием есть свои минусы. В частности, вам нужно предусмотреть, как вы будете доводить до своих посетителей этот самый секретный пароль. К примеру, вам потребуется оставлять листки с паролем на стойке администратора и на столиках в зале ожидания или развешивать их по всем залам на стенах, чтобы посетители без помощи администратора или мастеров самостоятельно могли подключиться к Сети. Кроме того, вы должны понимать, что если человек хотя бы раз посетил ваш салон и получил от вас пароль, то, находясь в зоне действия вашей точки доступа, он снова сможет выйти в интернет за ваш счет, поэтому вы должны предусмотреть механизм ротации паролей.
Для организации доступа с авторизацией по паролю и с шифрованием вам опять-таки потребуется обычный Wi-Fi-маршрутизатор. В качестве технологии следует выбирать или WPA-PSK, или WPA2-PSK — второе предпочтительнее. Не используйте WEP — эта технология безнадежно устарела и сейчас поддерживается исключительно для совместимости со старыми устройствами. Если вы хотите предусмотреть ротацию паролей (новый пароль каждый день), то тут следует смотреть по ситуации — или приобрести «умный» маршрутизатор, который можно запрограммировать на данную процедуру, или ежедневно самостоятельно перенастраивать точку доступа, или автоматизировать этот процесс внешними средствами.
Но, как я уже сказал выше, даже вариант с организацией шифрования, использованием сложных паролей и их постоянной ротацией не гарантирует, что к данным посетителей не сможет получить доступ злоумышленник, однако способен затруднить взлом. В плане безопасности такое решение обеспечивает защиту только от неопытных перехватчиков, поэтому основная польза от его внедрения — все же относительно просто организованное предоставление доступа в интернет ограниченному числу пользователей.
3. Третий, самый продвинутый вариант — с captive portal — c авторизацией (опционально), без шифрования. В данном случае ваша Wi-Fi-точка работает в режиме open, то есть готова обслужить любого подключившегося к ней пользователя. Но перед выходом в интернет, при открытии браузера клиенту отобразится специальная страница, на которой вы можете ознакомить его с правилами пользования интернетом в вашем заведении, запросить уникальный логин-пароль (вы хотите, чтобы только ваши клиенты пользовались вашим Wi-Fi-соединением, несмотря на то, что оно как будто бы открыто для всех) — и только после этого предоставляется доступ в интернет. Благодаря подобной технологии вы также можете отображать свои рекламные блоки на всех сайтах, получать подробную статистику пользования, ограничивать время доступа и много другое.
Captive portal — это удобное решение, когда вам необходим дополнительный контроль над интернет-соединением ваших посетителей. Единственный минус такого решения — вам потребуются маршрутизаторы с более «умной» прошивкой либо дополнительное оборудование — отдельный сервер или какое-то другое специализированное решение. Но, единожды настроенное и сконфигурированное, это самое, на мой взгляд, удобное и в большинстве случаев грамотное решение организации общественного беспроводного интернет-доступа.
Николай Юркин, специалист по IT-безопасности
