Точка притяжения

Как технология HotSpot 2.0 делает публичный Wi-Fi проще и безопаснее

Мы привыкли к тому, что Wi-Fi есть практически везде. Казалось бы, что можно улучшить в беспроводном интернете? Оказывается, довольно много. В нашем совместном с «МаксимаТелеком» тексте мы рассказываем о технологии Hotspot 2.0, которая призвана упростить для пользователей работу с публичными беспроводными сетями.

Мобильный интернет сейчас

Когда смартфон включен — он в интернете. Мы сами того не замечая привыкли к этой модели потребления мобильного контента. Данные, профиль, гигабайты — все это привязано к сим-карте, она — основной идентификатор пользователя в сети.

Если у вас есть рабочая сеть или дома стоит роутер, то в целом это схоже с использованием сотовой связи: есть настроенное подключение, а с ним и Wi-Fi. Вы открываете ноутбук, и вот, без всяких дополнительных действий, вы уже в интернете.

Публичный Wi-Fi — это совершенно другая история. Когда мы хотим подключиться к сети в метро, кафе, на остановке общественного транспорта, мы обычно открываем в смартфоне раздел с доступными сетями и ищем подходящую. Подходящая — это чаще всего значит «что-то похожее на то место, где мы сейчас».

Например, в кафе «Огонек» мы можем увидеть OGONEK_WIFI или OGONEK_FREE или даже OGONEK_GUEST. Или даже все сразу. И здесь скрывается одна из опасностей публичных сетей — среди них может притаиться фишинговая, то есть такая, у которой SSID (service set identifier) будет как у настоящей (подобная практика называется evil twin attack, то есть «атака злобного близнеца»).

С публичными Wi-Fi-сетями связан еще один интересный момент. У всех устройств, способных подключаться к сети, есть MAC-адрес — если совсем упрощенно, то это физический адрес устройства. Когда-то в дешевых смартфонах, в основном китайских, придумали менять MAC-адрес случайным образом. Это было связано с недостаточным на тот моментом пулом официальных адресов у производителей.

Однако, как выяснилось, рандомизация адресов, то есть их регулярная смена, — это важный элемент защиты пользователя от трекинга, и Google объявил о внедрении рандомизации в ОС Андроид. Но в результате рандомизации сети не могут запомнить ваше устройство и вам приходится всякий раз заново проходить процесс авторизации.

Улучшать публичные сети еще есть куда.

Что такое стек технологий Hotspot

Стек технологий Hotspot 2.0 создали для улучшения работы публичных беспроводных сетей — в частности, для решения тех проблем, о которых мы говорили выше.

Сейчас опубликовано три релиза Hotspot 2.0 (они все называются 2.0). В основе первого — спецификация IEEE 802.11u. Второй релиз (наиболее содержательный) развил идею стандартизации передачи учетных данных на устройство.

С точки зрения пользователя, технология Hotspot 2.0 по сравнению с существующими публичными сетями имеет два важных преимущества. Первое — это повышенная безопасность, включающая в себя шифрование трафика на «радиочасти» канала связи — между устройством пользователя и точкой доступа.

Второе — это защита от автоматического подключения к фишинговым точкам доступа, так как технология предусматривает аутентификацию и клиента, и сервера. Это означает, что та самая «атака злобного близнеца», о которой мы говорили выше, перестает работать: фишинговая сеть с SSID, копирующим SSID настоящей сети, не пройдет аутентификацию.

Подобный подход позволяет организовывать своего рода роуминг: при попадании в зону действия незнакомой, но партнерской сети аппарат пользователя может автоматически к ней подключаться. При этом мобильный оператор может организовать выгрузку данных, то есть часть информации будет идти через Wi-Fi партнеров, разгружая основную мобильную сеть.

Последний факт, кстати, сыграл важную роль в развитии стандарта. Первой компанией, которая приняла на вооружение Hotspot 2.0, стала AT&T. Именно эта возможность — выгрузка данных из мобильной сети — стала для американского гиганта решающей.

Как скоро ждать Hotspot 2.0?

Несмотря на то, что технология выглядит многообещающе, ее повсеместное внедрение затруднено. Если поддержка со стороны Wi-Fi-оборудования не вызывает проблем на всех современных чипсетах, то с поддержкой со стороны клиентских устройств не все так однозначно.

С одной стороны, есть iOS. Несмотря на то, что сертификацию на поддержку технологии у Apple официально прошло всего несколько устройств — iPhone 3, iPhone 4, iPad (сертификация, разумеется, добровольная) — все современные iOS устройства поддерживают как минимум один из релизов Hotspot 2.0.

С другой стороны, на Android только 17 процентов устройств полностью поддерживает первый и 9 процентов поддерживает второй релиз технологии Hotspot 2.0. Ситуация чуть лучше, если смотреть на отдельные технологии, входящие в стек: две из трех основных технологий поддерживает почти 100 процентов устройств.

Так что пока Hotspot 2.0 далек от повсеместного внедрения.

Hotspot 2.0 в России

Компания «МаксимаТелеком» первой занялась внедрением Hotspot 2.0 для масштабной публичной сети и для широкого круга пользователей в России. Технология развернута на сети MT_FREE в московском метро.

Что уже сделали? Во-первых, настроили оборудование сети. Учитывая количество точек доступа, это была одна из самых объемных задач. Сначала работа велась на «зеленой» ветке, а после того, как там все получилось, компания распространила опыт работы на другие направления. Помимо настройки пришлось поработать с программным обеспечением внутренней инфраструктуры — оно у «МаксимаТелеком» самописное, поэтому все технологии пришлось интегрировать самостоятельно.

Сейчас запущено тестирование технологии Hotspot 2.0 для пользователей устройств на базе iOS. Помимо того, что, как уже говорилось раньше, устройства на iOS совместимы с технологией, это было связано с еще одной задачей, которую необходимо решить для перехода на Hotspot 2.0. Речь идет о передаче учетных данных на устройства пользователей.

Дело в том, что пользователь, попав в сеть, должен как-то идентифицировать себя. Формат Hotspot 2.0 предполагает широкий выбор инструментов идентификации по учетным данным (это набор данных, который позволяет идентифицировать пользователя) и при этом не использует и не получает никаких данных об абоненте.

Для идентификации пользователя в сетях Wi-Fi рассматривались два метода: пара логин-пароль и сертификат X.509. Сертификаты популярны в локальных сетях, например у крупных компаний, и довольно надежны. Однако быстро стало понятно, что сертификат — это штука, которая хороша для небольших сетей, а на масштабах MT_FREE уже сложно управляема. Поэтому решено было остановиться на паре логин-пароль.

Про безопасность подключения, или Как избежать MITM-атаки

MITM (man in the middle), или «Атака посредника», — вид атаки, при которой злоумышленник вторгается в передачу данных между двумя сторонами. Он имеет возможность обойти аутентификацию и выдает себя за каждую из конечных точек, либо остается незамеченным.

Чтобы предотвратить подобную атаку, профиль доступа к сети MT содержит лишь минимальный набор информации для трех ключевых этапов подключения: для идентификации сети, к которой производится подключение, аутентификации доверенного сервера доступа (Radius) и генерации уникального ключа шифрования канала передачи данных.

Таким образом, в профиле есть SSID (Service Set Identifier), который служит именем точки сети Wi-Fi, промежуточный сертификат Thawte RSA CA, которым подписан сертификат сервера доступа, и учетные данные для подключения с использованием протокола WPA2.

В профиле нет клиентских, самоподписанных и доверенных корневых сертификатов. Таким образом, ни у кого, включая компанию «МаксимаТелеком», нет технической возможности провести MITM-атаку, используя данные из профиля.

К настоящему моменту, по данным «МаксимаТелеком», профилями и закрытой сетью пользуются порядка тысячи пользователей. Компания считает это хорошим результатом, несмотря на сложную установку, которая требует нескольких действий со стороны пользователя.

На данный момент генерация профилей недоступна, так как набралась уже достаточная база пользователей для тестирования. С его помощью удалось выявить потенциальное узкое место — канал поезд-туннель: если он недостаточного качества и есть потери, то может возникнуть ситуация, когда авторизация в сети заканчивается неуспешно и пользователи могут наблюдать диалоговое окно ввода логина и пароля. Компания уже проводит модернизацию подобных каналов.

Андрей Коняев