Создаем публичную беспроводную точку доступа


Побывал на днях в российском санатории и был просто удивлен тому, каким образом у них реализована работа беспроводной точки доступа к Интернету. Подключение к сети там осуществляется через специальный компьютер со встроенной сетевой картой, на котором установлено специальное программное обеспечение, которое фильтрует все запросы, просматриваемый контент и даже зачем-то user-agent пользователя. То есть, с помощью планшета я успешно подключился к точке доступа, а вот мобильному телефону повезло меньше – там вместо запрашиваемых страничек открывалось сообщение об ошибке либо срабатывании фильтра. Позже выяснилось, что это такая защита от детей: телефоны запрещены, поскольку они с них в основном и заходят; включена фильтрация всяких там порносайтов; установлено ограничение на длительность сессии, равное тридцати минутам (то есть, один MAC-адрес может быть подключен к точке только в течение получаса, затем ему придется сделать вынужденный перерыв на час). Последнее, конечно, не очень умно, поскольку вместе с детьми от Интернета через тридцать секунд будут отрезаны и взрослые, говорящие, к примеру, по видеосвязи. Поработав с такой точкой доступа, я решил написать краткое руководство для желающих создать публичную точку доступа, дабы в результате не получилось какое-нибудь гуано.

У нас ведь предприниматели как думают? Вот купим мы самую дешевую точку доступа за двести гривень, подключим Интернет за двадцать гривень в месяц и клиенты тут же побегут бегом в наше заведение. А вот не все так просто. Начнем с того, что у каждой точки доступа есть определенный «пассажирооборот». Есть дешевые домашние точки доступа, они рассчитаны на несколько одновременных подключений. Есть более интересные модели, которые могу держать одновременно до десятка клиентов. А есть специальные точки, которые разрабатывались для общественных заведений, они могут держать достаточно большое количество посетителей одновременно и без сбоев. Часто сталкиваюсь с тем, что большое количество пользователей обслуживает точка, не рассчитанная на такое количество подключений. В таком случае у клиента происходят проблемы с подключением точки, а также существенные перебои с получением ее услуг, такие, как обрывы связи и большое время ответа. Также стоит отметить, что ширина канала доступа в Интернет – это также очень важный показатель, так как подключить десять клиентов к ADSL-Интернету со скоростью 512Кбит/сек, конечно, возможно, но удовольствия это никому не принесет. Для нормального функционирования точки доступа нужен канал шириной хотя бы 10Мбит/сек, но это, конечно, не эталон.

Если у Вас вдруг большое помещение, которое не выйдет охватить покрытием одной лишь точки доступа, то ставить еще несколько автономных точек нет никакого смысла – это только введет в заблуждение пользователей, да и заставит их, к тому же, производить лишние действия, которые запросто можно было бы сократить. Изначально приобретите несколько одинаковых точек доступа, но убедитесь предварительно, что они могут работать в качестве единой сети. В таком случае Вы сможете поставить точки в разных частях своего помещения, но оборудование клиента будет воспринимать сеть Ваших точек как одну единственную, благодаря чему связь не потеряется, если клиент будет ходить из одной стороны в другую – его устройство незаметно переключится к ближайшей точке. Это, кстати, позволит также разгрузить точки, так как нагрузка будет распределяться между всеми узлами сети, а не направляться только лишь на один единственный. Можно применить эту хитрость вместо того, чтобы ставить более дорогую точку доступа с большим количеством одновременных поддерживаемых подключений и большим покрытием.

А теперь давайте представим, что у нас уже есть точка доступа средней вместимости, которая держит до десяти одновременных подключений, а также качественный доступ в Интернет на статичной скорости 10Мбит/сек. Что нужно знать еще? Знать нужно также и то, что один клиент может занять весь канал, поставив какой-нибудь torrent на скачивание. В таком случае ему будет хорошо, а все остальные будут ожидать главную страницу Google по пять минут. Это не очень хорошо, однако практически все современные точки доступа умеют с этим бороться (только этой функцией почему-то никто не пользуется). В настройках роутера нужно найти функцию «Quality of service» (она может называться и иначе, это можно уточнить в инструкции по применению, укомплектованной вместе с беспроводной точкой доступа). У меня она требует указать диапазон внутренних IP-адресов, для которых будет действовать ограничение. Предположим, наша точка доступа применяет диапазон IP-адресов с 192.168.1.0 по 192.168.1.255 (это все также можно выяснить в настройках роутера) для внутренней адресации. Вот и вводим туда эти адреса. Затем назначаем ограничение (в моем случае, скорость входящую и исходящую нужно объявить отдельно), например, не более 1Мбит/сек на душу населения. С такой настройкой каждый из наших клиентов получит по 1Мбит/сек скорости и никто уже не сможет выделить под себя все десять. В принципе, одного мегабита будет даже много, так как для открытия простых веб-страниц хватит и половины, но мы все-таки оставим чуть больше на случай, если человек захочет воспользоваться в нашем заведении видеосвязью, которая требует несколько больше, чем просто просмотр видео на YouTube.

А теперь самое главное, без чего все эти настройки не будут иметь никакого смысла в действительности: прежде всего, нужно изменить логин (если возможно) и пароль, используемые для доступа к администраторской панели точки доступа, так как в противном случае пользователи смогут войти туда вместо администратора и настроить точку под свои потребности, что нам не особенно выгодно. Некоторые точки доступа позволяют также вообще закрыть доступ к администраторской панели через беспроводное соединение – это вообще хорошо, особенно если компьютер, с которого будет производиться настройка, можно подключить по кабелю. Есть и более извращенная настройка, но она пригодится нам только в том случае, если администрирование сети всегда будет происходить с одного и того же компьютера. Доступ к администраторской панели можно разрешить только с одного внутреннего IP-адреса, при этом нужно выбрать его так, чтобы он не входил в диапазон раздаваемых клиентам. Но то, что клиентам он назначен не будет, еще не признак того, что его никто не сможет назначить себе самостоятельно в настройках подключения, поэтому предлагаю еще более извращенный метод защиты: привязываем в настройках точки доступа этот IP-адрес к MAC-адресу компьютера администратора. Все, больше никто кроме него этот IP-адрес не получит (хотя, это вполне может зависеть от модели и производителя точки доступа, но в моей при попытке назначения себе подобного адреса Интернет якобы подключается, но запросы пользователя точка не принимает).

А теперь поговорим о защите самого Интернета, а еще лучше – о частых ошибках во время этой защиты. Один раз мне встретился самый маразматичный метод защиты изо всех, с которыми мне когда-либо приходилось сталкиваться. Это было в ресторане. Беспроводной Интернет там был без пароля, однако при подключении выдавался сбой аутентификации. Вся проблема была в том, что подключится к этой точке можно было только сообщив предварительно администратору свой MAC-адрес. Как Вы думаете, много людей сможет вот так просто взять, да и найти свой MAC-адрес?

Теперь вторая часть – паролирование доступа. Пароль оптимально ставить, если Вы находитесь в здании и рядом с Вами есть другие заведения. Я совершенно не понимаю, для чего ставить пароль на подключение к Интернету в санатории, который располагается в отдельном здании, рядом с которым нет совсем ничего. А самое интересное, что войдя через главный вход в холл санатория можно увидеть пароль к беспроводной точке доступа на стенде с информацией.

Теперь давайте кратко подведем итог:
1. Прежде, чем покупать точку доступа, выясните, сколько он сможет держать одновременных соединений и сравните это число с примерным количеством посетителей, желающих использовать бесплатное подключение к Интернету.
2. Если Вам нужно охватить большую площадь – приобретите несколько одинаковых точек доступа, а затем объедините их в одну сеть (только проверьте предварительно, чтобы таковая функция точками доступа поддерживалась). Не нужно создавать десяток автономных точек доступа – это только введет пользователя в заблуждение.
3. Не нужно экономить на ширине канала – 3G-to-WiFi – это, конечно, круто, особенно в каком-нибудь кафе в глухом лесу или на заправке посреди шоссе, а вот в центре города, где имеется десяток операторов кабельного Интернета, это – полный маразм.
4. Измените заводские настройки логина и пароля к администраторской панели точки доступа. По возможности также разрешите доступ к настройкам только по кабельному подключению, либо запретите доступ к настройкам всем, кроме определенного IP-адреса, который будет назначаться только компьютеру администратора.
5. Никогда не требуйте с пользователя его MAC-адрес (для некоторых это все равно, что потребовать назвать ИНН по памяти) и применяйте паролирование доступа только в том случае, если имеется вероятность несанкционированного доступа.


15.06.2013, 16:30
  Интернет, Wi-Fi.
Просмотров: 4388.
4