Więcej

    Guest Wi-Fi – koncepcja i architektura

    spot_img

    Rola sieci dla gości jest zawarta w samej nazwie. Nie ma tu ukrytego haczyka – chodzi o zapewnienie dostępu do sieci dla urządzeń odwiedzających daną organizację. Na jakiej zasadzie działa jednak Guest Wi-Fi? Do jakich zasobów mają dostęp użytkownicy? I wreszcie, jakie urządzenia zazwyczaj podłączają się do sieci dla gości? Odpowiedzi na te pytania wcale nie są takie oczywiste!

    Zarys koncepcji

    Pojęcie Guest Wi-Fi znane jest od kilkunastu lat. W tym czasie zmieniały się urządzenia, oprogramowanie i dostępne funkcjonalności, ale ogólna idea pozostała ta sama. Celem sieci Guest Wi-Fi jest przede wszystkim zapewnienie dostępu do Internetu użytkownikom łączącym się bezprzewodowo.

    Słyszałeś o publicznej sieci dla gości? A może bardziej kojarzysz pojęcie Hotspot? Otóż pojęcie sieci dla gości zawiera się w tematyce Hotspot. Idea jest ta sama, czyli umożliwienie dostępu do Internetu, przy czym pojęcie Hotspot dotyczy bardziej sieci publicznych i dowolnych użytkowników będących w zasięgu sieci Wi-Fi. Przykładem mogą być darmowe miejskie sieci bezprzewodowe, sieci hotelowe, na dworcach, w restauracjach itp. Natomiast celem Guest Wi-Fi w środowisku Enterprise jest świadczenie tej samej usługi, ale dla wybranych użytkowników przebywających na terenie przedsiębiorstwa, firmy, biura. Zmienia się zatem miejsce wykorzystania technologii i rodzaj odbiorcy tej usługi.

    W tym artykule poruszam przede wszystkim zagadnienie Guest Wi-Fi w sieciach Enterprise, które charakteryzuje się dedykowanymi i często bardziej skomplikowanymi rozwiązaniami, niż ma to miejsce w sieciach publicznych i domowych.

    Architektura sieci dla gości w środowisku Enterprise

    Do stałych charakterystyk sieci Guest Wi-Fi można zaliczyć następujące cechy:

    • nie ma potrzeby instalacji dedykowanych urządzeń sieciowych, korzystamy z istniejącej infrastruktury sprzętowej (tej samej, co dla wewnętrznej sieci korporacyjnej),
    • wprowadzamy dedykowane SSID dla gości, które logicznie oddzieli ich od sieci korporacyjnej,
    • ruch użytkowników podłączonych do SSID dla gości powinien wpadać do dedykowanego VLANu i dedykowanej sieci, co pozwoli kontynuować logiczny podział,
    • w najlepszym wypadku ruch powinien być tunelowany od Access Pointa do bezpiecznego miejsca w sieci, z którego klient może dostać się jedynie do Internetu,
    • dostęp do Internetu jest możliwy wyłącznie po uwierzytelnieniu użytkownika poprzez Captive Portal (w większości przypadków, więcej o tym w dalszej części artykułu).

    Jak już wspomniałem, użytkownicy bezprzewodowi podłączeni do sieci Guest Wi-Fi powinni mieć dostęp do Internetu. W przypadku środowiska Enterprise niezwykle ważną kwestią staje się bezpieczeństwo sieci wewnętrznej. Dlatego też należy zadbać o to, aby ruch użytkowników w sieci Guest Wi-Fi był oddzielony od zasobów sieci korporacyjnej. Poniżej przytaczam kilka możliwości uzyskania takiego rezultatu i jednocześnie pragnę jasno zaznaczyć, że nie są to wszystkie możliwe rodzaje wdrożeń.

    Guest Wi-Fi według Cisco

    Rozwiązanie to oparte jest o wykorzystanie tzw. Lightweight Access Pointów działających z WLAN Controllerem. Poniższy rysunek obrazuje tę architekturę:

    Architektura Guest Wi-Fi według Cisco, źródło: cisco.com
    Architektura Guest Wi-Fi według Cisco, źródło: cisco.com

    Przede wszystkim zacznijmy od zidentyfikowania elementów istotnych dla sieci Guest Wi-Fi. Mamy zatem:

    • użytkownika Wi-Fi podłączonego do sieci bezprzewodowej dla gości,
    • Lightweight Access Point rozgłaszający dedykowane SSID dla gości,
    • WLAN Controller w sieci korporacyjnej, nazywany Foreign Controllerem,
    • WLAN Controller w strefie DMZ (Demilitarized Zone), nazywany Anchor Controllerem umiejscowiony w sieci za firewallem,
    • wyjście do Internetu.

    Ruch od użytkownika Wi-Fi wysyłany jest bezprzewodowo do Access Pointa. Następnie ruch ten jest tunelowany do Foreign Controllera przy pomocy protokołu CAPWAP (tunel UDP), a dalej enkapsulowany w tunel EoIP (Ethernet over IP) i wysyłany do Anchor Controllera. W ten sposób ruch jest całkowicie oddzielony od sieci korporacyjnej, wychodząc z tunelu dopiero w strefie DMZ, skąd ma dostęp jedynie do Internetu.

    Guest Wi-Fi według Aruby

    Aruba umożliwia konfigurację rozwiązania bardzo podobnego do Cisco, jednakże używając do tego odrębnej technologii i nazewnictwa. Poniższy rysunek obrazuje tę architekturę:

    Architektura Guest Wi-Fi według Aruby, źródło: arubanetworks.com
    Architektura Guest Wi-Fi według Aruby, źródło: arubanetworks.com

    Lista urządzeń wymaganych do poprawnego wdrożenia jest bliźniaczo podobna, mamy zatem:

    • użytkownika Wi-Fi podłączonego do sieci bezprzewodowej dla gości,
    • Campus Access Point rozgłaszający dedykowane SSID dla gości,
    • Mobility Controller w sieci korporacyjnej,
    • Mobility Controller w strefie DMZ (Demilitarized Zone), umiejscowiony w sieci za firewallem,
    • wyjście do Internetu.

    Ruch od użytkownika Wi-Fi wysyłany jest bezprzewodowo do Access Pointa. Następnie ruch ten jest tunelowany przy pomocy tunelu GRE do Mobility Controllera znajdującego się w sieci korporacyjnej, a dalej innym tunelem GRE przesyłany jest do Mobility Controllera znajdującego się w strefie DMZ. W ten sposób ruch jest całkowicie oddzielony od sieci korporacyjnej, wychodząc z tunelu dopiero w strefie DMZ, skąd ma dostęp jedynie do Internetu.

    Wykorzystanie VRF

    Funkcjonalność VRF (Virtual Routing and Forwarding) pozwala logicznie oddzielić różne rodzaje ruchu przechodzącego przez to samo urządzenie fizyczne. W dużym skrócie technologia VRF pozwala danemu urządzeniu sieciowemu korzystać z wielu osobnych tablic routingu, umożliwiając tym samym kompletną separację logiczną ruchu. Sieci, dane i ogólnie ruch będący w danym VRF może poruszać się tylko w jego obrębie. Takie rozwiązanie pozwala na skuteczne odgrodzenie ruchu w sieci Guest W-Fi od sieci korporacyjnej, dzięki czemu możliwe jest zrezygnowanie z dedykowanego WLAN Controllera w strefie DMZ.

    Taki ruch można nawet wypuszczać lokalnie omijając WLAN Controller, z którym powiązany jest Access Point. W tym przypadku ruch klienta bezprzewodowego trafia z Access Pointa bezpośrednio do dedykowanego VRF w sieci LAN. Takie rozwiązanie pozwala na korzystanie z lokalnego łącza internetowego i jest przydatne zwłaszcza wtedy, gdy WLAN Controller znajduje się w innej lokacji.

    Dostęp do sieci dla gości

    Kwestia dostępu do sieci dla gości również dostępna jest w kilku wariantach. Poniżej przytaczam kilka dostępnych metod.

    Web authentication

    Jest to najpopularniejsza metoda zabezpieczenia dostępu do Guest Wi-Fi w środowisku Enterprise. Z punktu widzenia użytkownika końcowego jest to sieć typu Open Authentication, a więc nie jest wymagane posiadanie hasła w celu samego podłączenia się do tej sieci bezprzewodowej. Tak też to wygląda, użytkownik łączy się do sieci Guest Wi-Fi i otrzymuje adres IP. Co bardzo ważne, na tym etapie sieć powinna pozwolić wyłącznie na ruch protokołów DHCP i DNS dla takiego użytkownika. Następnie na podłączonym urządzeniu należy włączyć przeglądarkę i spróbować nawiązać połączenie z dowolną stroną www. Takie połączenie zostanie przekierowane na tzw. Captive Portal (często określany także mianem Splash Page). Poniższa grafika przedstawia przykładową stronę Captive Portal.

    Przykładowa strona Captive Portal, źródło: cisco.com
    Przykładowa strona Captive Portal, źródło: cisco.com

    Na tym etapie możemy spotkać kilka wariantów, które mogą być skonfigurowane przez administratora danej sieci Guest Wi-Fi. Są to między innymi poniższe opcje, które mogą występować w dowolnych zestawach:

    • miejsce na wpisanie loginu i hasła z Vouchera, czyli swego rodzaju karty dostępu, która zawiera dane logowania i najczęściej jest dostarczana użytkownikom na ich adres e-mail,
    • miejsce na wpisanie adresu e-mail, który może posłużyć jako identyfikator użytkownika (w mojej opinii bardzo naiwne podejście),
    • odnośnik do regulaminu sieci bezprzewodowej wraz z przyciskiem do akceptacji.

    Dopiero po wykonaniu akcji, które zostały wskazane na Captive Portal, użytkownik uzyska dostęp do Internetu.

    Pre-shared Key

    Rozwiązanie najczęściej spotykane w hotelach i restauracjach. Do podłączenia się do sieci wymagane jest posiadanie hasła, które można uzyskać w recepcji, przy barze itd. Jest to jedno hasło dla wszystkich użytkowników, dzięki czemu mamy z głowy cały zbiór akcji wymaganych przy utrzymywaniu struktury Captive Portal z Voucherami. Z drugiej strony, w pewnym sensie tracimy kontrolę nad tym, kto łączy się do sieci Guest Wi-Fi. Po pomyślnym zalogowaniu się do sieci użytkownik natychmiast otrzymuje dostęp do Internetu.

    „Czy wiesz że…?”

    W przypadku Hotspotów częstą praktyką jest pobieranie opłat za dostęp do sieci. W tym celu wykorzystywane są dedykowane technologie powiązane z systemem płatności.

    Open authentication

    Jest to po prostu otwarta sieć bezprzewodowa, czyli taka, która nie jest zabezpieczona żadnym hasłem. Rozwiązanie najgorsze z możliwych, na szczęście coraz rzadziej spotykane.

    „Czy wiesz że…?”

    Wszystkie przytoczone metody dostępu do sieci mają poważną wadę, która jest jednocześnie jednym z głównych problemów sieci dla gości. Mianowicie ruch wysyłany w ramach takich sieci jest albo nieszyfrowany (Open Authentication), albo szyfrowany ale poznanie hasła do sieci pozwala w bardzo łatwy sposób odszyfrować ruch wszystkich użytkowników (Pre-shared Key). Poziom bezpieczeństwa można poprawić korzystając z szyfrowania w wyższych warstwach stosu sieciowego, np. HTTPS. W takim przypadku zawartość ramek Wi-Fi będzie widoczna, ale ich zawartością będzie zaszyfrowany ruch HTTPS.

    Użytkownicy w sieci Guest Wi-Fi

    Zwyczajowo Guest Wi-Fi w środowisku Enterprise przeznaczone jest między innymi dla prywatnych urządzeń pracowników firmy, gości z zewnętrznych firm, klientów itp. Ogólnie rzecz biorąc, dla wszystkich użytkowników, którym chcemy zapewnić dostęp do Internetu, ale nie do zasobów korporacyjnych.

    Oczywiście może chodzić nie tylko o Internet, administrator takiej sieci może zezwolić gościom na dostęp do pewnych zasobów w sieci lokalnej, które np. są powszechnie znane albo ich rozpowszechnienie nie będzie problematyczne.

    Korzyści związane z dostarczaniem sieci dla gości

    Potencjalnych benefitów jest wiele i każdemu może zależeć na czym innym, dlatego postanowiłem przytoczyć kilka korzyści, które powinny znaleźć zastosowanie w większości wdrożeń. Przede wszystkim dobrze zaprojektowana i wdrożona sieć Guest Wi-Fi pozwala oddzielić ruch urządzeń korporacyjnych od innych urządzeń, co znacząco zwiększa poziom bezpieczeństwa. Idąc dalej, możliwe jest także określenie zasobów w Internecie, do których dostęp będą miały urządzenia podłączone do Guest Wi-Fi.

    Kolejnym benefitem jest możliwość badania statystyk dla urządzeń w sieci Guest Wi-Fi. W dzisiejszych czasach informacja jest najcenniejszym zasobem, a dane statystyczne dla ruchu naszych klientów korzystających z naszego Wi-Fi są tym bardziej atrakcyjne.

    Niektórzy producenci sprzętu sieciowego oferują możliwość pewnego rodzaju priorytetyzacji ruchu sieciowego bazując na SSID. W ten sposób możemy zagwarantować odpowiednią ilość zasobów dla urządzeń w sieci korporacyjnej, jednocześnie oferując dostęp do Internetu dla gości.

    Guest Wi-Fi jest rozwiązaniem powszechnie stosowanym w środowisku Enterprise. Istnieje wiele możliwości wdrożenia tej funkcjonalności, dlatego niezwykle istotne jest dobranie odpowiedniej technologii, która będzie zgodna z naszymi wymaganiami.

    Jakie są najlepsze znane Ci praktyki budowania sieci bezprzewodowych typu Guest Wi-Fi?

    🗳 Jak przydatna była ta publikacja?

    Średnia ocena 5 / 5. Ilość głosów: 4

    Brak ocen. Bądź pierwszy!

    Dziękujemy za ocenę! Zapraszamy Cię do obserwowania NSS w mediach społecznościowych!

    Przykro nam, że ta publikacja okazała się być dla Ciebie nieprzydatna!

    Uwaga: Twój głos będzie liczony tylko jeśli udzielisz feedbacku używając formularza poniżej.

    Jak możemy poprawić tę publikację?

    Łukasz Kowalski
    Network Architect, Współtwórca Na Styku Sieci

    2 KOMENTARZE

    guest
    2 - Ilość komentarzy
    Sortuj wg najstarszych
    Sortuj wg najnowszych Sortuj wg najlepszych
    Inline Feedbacks
    View all comments
    Paweł Drzewiecki

    Dzięki za artykuł. Brakowało mi tutaj czegoś czego szukam, a spotkałem się już nie raz, a mianowicie przychodzi klient do firmy, na recepcji dostaje wygenerowane na drukarce w formie stickers parametry połączenia Jak:

    Użytkownik
    Hasło
    Ssid
    Czas ważności tych parametrów

    Jak to wdrożyć i powiązać z Cisco

    Przygotowujesz się do certyfikacji CCNA?

    Zapisz się na nasz NSSletter, a co tydzień we wtorek rano otrzymasz porcję sieciowej wiedzy oraz porady dotyczące certyfikacji.

    Uzupełniając powyższe pole wyrażasz zgodę na otrzymywanie od GetGoodNet Damian Michalak z siedzibą we Wrocławiu newslettera zawierającego treści edukacyjne. Zgodę możesz wycofać w każdym czasie.

    NSS na Social Media

    1,611FaniLubię
    72ObserwującyObserwuj
    134ObserwującyObserwuj
    1,220SubskrybującySubskrybuj

    Najnowsze artykuły

    spot_img

    Może Cię też zainteresować...

    2
    0
    Co sądzisz na temat tej publikacji? Zostaw proszę komentarzx
    ()
    x