Wie wir der Luzhniki-IT-Infrastruktur während der Weltmeisterschaft gedient haben

Ich habe zufällig an einem Projekt zur Schaffung einer Engineering- und IT-Infrastruktur für die Luzhniki Grand Sports Arena teilgenommen. Die Arbeit dauerte mehrere Jahre und endete mit der Unterstützung der Lösungen, die wir während der FIFA-Weltmeisterschaft eingeführt haben. Unter dem Strich - darüber, wie wir HD-WLAN auf dem größten Sportplatz des Landes implementiert und gewartet haben, auf welche Probleme wir gestoßen sind und wie uns die Raspberry Pi-Minicomputer geholfen haben.

Quelle

13. November 2017

Die Hauptnachricht des Tages: BSA Luzhniki wird zwei Wi-Fi-Netzwerke für Fans haben, nicht eines. Jetzt werden Wi-Fi-Punkte für Fans nur in Sky-Boxen und unter Tribünen installiert. Im Jahr 2014, als der Wiederaufbau begann, beschloss der Kunde, auf den Tribünen des Stadions kein WLAN zu bauen, da diese Botschaft in Form eines bescheidenen Wunsches in den FIFA-Anforderungen enthalten war. Der Kunde hat jetzt einen offiziellen Brief, der vom FIFA-IT-Direktor Dick Wiles unterzeichnet wurde. Das Wesentliche des Briefes ist, dass HD-WLAN auf den Tribünen des Stadions keine weiche Anforderung, sondern eine strenge Anforderung ist. Es ist nicht ganz klar, was jetzt zu tun ist. HPE Wi-Fi-Zugangspunkte und -Controller wurden 2014 gekauft und gemäß dem Projekt installiert. Sie wurden so weit verkauft, dass das Netzwerk auf vorhandenen Controllern nicht erweitert werden kann. Wir werden ein weiteres Luzhniki Wi-Fi-Netzwerk aufbauen. Idealerweise sollte die Lösung am 23. März 2018 bei einem Testspiel zwischen Russland und Brasilien getestet werden. Bei der Eröffnungsfeier der FIFA-Weltmeisterschaft sollte am 14. Juni alles zu 100% funktionieren.

15. November 2017

Da dies nicht das erste LANIT-Integrationsprojekt ist , das HD-WLAN in Stadien erstellt (Sie können hier über das erste Projekt lesen), sind die wichtigsten Punkte, die es wert sind, beachtet zu werden, bereits verstanden.

1. Alle Clients müssen sich authentifizieren, bevor sie auf das Internet zugreifen können.

   Wenn wir über den Zugang von Gästen zum Internet an einem öffentlichen Ort sprechen, ist dies eine Anforderung des russischen Rechts. Der verständlichste Weg, um das Problem zu beheben, besteht darin, dem Teilnehmer anzubieten, seine Handynummer im Austausch für den Erhalt eines Einmalpassworts per SMS mitzuteilen.
2. Access Points stehen nicht dort, wo sie optimal sind, sondern dort, wo sie es zulassen.

   Ein Zugangspunkt kann nur dann im Stadion hängen, wenn drei Bedingungen gleichzeitig erfüllt sind: a) Er verdeckt nicht die Sicht. b) nicht mit den Händen greifen; und c) ein Twisted-Pair-Kabel kann herangezogen werden. Sobald der Plan für die Einrichtung von Zugangspunkten von Personen genehmigt wird, die für die öffentliche Ordnung verantwortlich sind, wird der Punkt bei Nichteinhaltung mindestens einer der Bedingungen abgebaut und alle Argumente wie Funkumfragen, Empfehlungen von Anbietern usw. wird als Entschuldigung für die Armen interpretiert.
3. Es gibt immer Beschwerden über die Arbeit von Wi-Fi, bei denen nicht klar ist, was zu tun ist.

   "Etwas, das ich zu lange über WhatsApp heruntergeladen habe." "Gestern war meine Freundin im Stadion und konnte keine Verbindung herstellen." Es ist äußerst selten, dass ein Anspruch Informationen enthält, die zumindest irgendwie bei der Arbeit helfen. Während eines Spiels ist es völlig nutzlos, die MAC-Adresse einer Person des Telefons anzugeben, sie zu bitten, Screenshots zu senden usw. Wenn wir nicht in endlosen Versuchen im Stadion herumlaufen wollen, um die Qualität von HD-WLAN zu überprüfen, müssen wir herausfinden, was mit solchen Anrufen zu tun ist.
4. Es ist schwer objektiv zu verstehen, wie gut HD-WLAN im Stadion funktioniert.

   Der Teilnehmer kann mit der Qualität von Wi-Fi aufgrund einer Reihe von "schwebenden" Dingen unzufrieden sein, die sogar außerhalb der Kontrolle derjenigen liegen, die an der Wartung der IT-Infrastruktur der Einrichtung beteiligt sind. Der SMS-Code kann möglicherweise nicht aufgrund von Telefonstörungen, Überlastung des Mobilfunknetzes oder eines Ausfalls des SMS-Betreibers kommen. Aufgrund von Problemen von Telekommunikationsbetreibern oder Hosting-Anbietern kann es zu Verzögerungen beim Öffnen von Webseiten kommen. Ein Mann wird nicht verstehen, wie man eine Verbindung herstellt ... Niemand garantiert per Definition die Signalqualität und die Abwesenheit von Interferenzen in einem drahtlosen Datenübertragungsmedium.

WiFi-Antenne im Stadion. Bitte beachten Sie, dass es sich hinter dem Glas befindet, was die Signalqualität geringfügig beeinträchtigt, die Antenne jedoch physisch vor den Lüftern schützt.

15. Dezember 2017

Der Kunde traf die endgültige Entscheidung, dass das zweite Wi-Fi-Netzwerk im Stadion auf Geräten von Cisco Systems aufgebaut wird. Nach den vorläufigsten Berechnungen sollten etwa 500 Zugangspunkte an den Tribünen des Stadions aufgehängt werden. Die Ingenieure von Cisco schlagen vor, das Projekt an AIR-CT8510-500-K9-Controllern und an den Punkten AIR-CAP3702E mit den Antennen AIR-ANT2513P4M-N = und AIR-ANT2566D4M-R = durchzuführen. Wenn wir heute Ausrüstung bestellen, wird dies in mindestens anderthalb Monaten, dh am 1. Februar, geschehen. Und der 23. März ist ein Testspiel. Die Fristen sind extrem eng, so dass die Controller beschlossen, sofort zu bestellen. Um IS-Vorfälle zu überwachen, wurde beschlossen, die Lösung zu erweitern und sofort ein Paar NGFW auf der Basis von Fortinet ME zu bestellen, um die Lücke zwischen unserem Netzwerk und dem Netzwerk des Telekommunikationsbetreibers zu schließen. Zugangspunkte und Funkantennen zu bestellen ist immer noch dumm, weil wir uns vage vorstellen, wie viele Punkte benötigt werden und wo sie aufgehängt werden sollen. Es ist dringend erforderlich, eine Funkumfrage zu starten.

Quelle

18. Dezember 2017

Es stellt sich heraus, dass es während der Weltmeisterschaft im Stadion nicht einmal zwei, sondern drei Wi-Fi-Netzwerke geben wird. Ein weiteres unabhängiges drahtloses Netzwerk (auf separaten Controllern) wird von der FIFA für ihre eigenen Bedürfnisse und die Bedürfnisse der Medienmitarbeiter bereitgestellt. Da das FIFA-Netzwerk den Tribünenraum des Stadions teilweise beeinträchtigt, sollten in einigen Räumen vorhandene HPE Wi-Fi-Zugangspunkte vorübergehend deaktiviert oder, noch besser, abgebaut werden. Andernfalls hat dies keinen Einfluss auf den Fortschritt unseres Projekts.

20. Dezember 2017

Wir haben uns entschieden, wo wir konzeptionell Zugangspunkte an den Tribünen des Stadions aufhängen. Es wurden vier Optionen in Betracht gezogen: die Dachstege unter den Sitzen entlang des Umfangs der Sektoren (am Geländer des Zauns, Portale für den Zugang zu den Tribünen) und unter den Tribünen in der Hoffnung, dass das Funksignal die Bodenplatte durchbricht (ein exotischer Pfad, aber es gibt Projekte, die auf diese Weise in der Welt umgesetzt werden). .

Die erste Möglichkeit bestand darin, die Platte zu durchbrechen: Die Dämpfung des Signals im 2,4-GHz-Band wurde durch den Durchgang der Platte gemessen. Es war -80 dBm, und das vergrub die Lösung.

Jetzt ist es an der Zeit, sich zu weigern, sich unter die Sitze zu setzen, weil Die Option implizierte deutlich mehr Zugangspunkte (ca. 800) und erforderte praktisch durcheinandergebrachte Stahlbetonplatten mit einer Dicke von 1 m mit Hunderten von technologischen Löchern für die Kabelversorgung, was nicht klar ist, wie man wasserdicht ist.

Die verlockendste Installation auf dem Dach sieht so aus: Das Verlegen des Kabels entlang der Gehwege ist viel einfacher, zumal es sogar Optik- und Klimatelekommunikationsschränke gibt. Aber auch das ist kein Schicksal: Die durchschnittliche Entfernung von den Dachwegen in gerader Linie zu den Tribünen des Luzhniki-Stadions beträgt ca. 40 m bei einer Designnorm von maximal 20 m für HD-WLAN.

Die einzige Möglichkeit besteht darin, Punkte um den Umfang der Stadionsektoren zu verteilen. Dies bedeutet die unvermeidliche Ungleichmäßigkeit der Funkabdeckung sowie die Entwicklung von Lösungen zum Schutz der Gäste vor Angriffen auf Geräte. Es gibt einfach keine anderen Möglichkeiten, die FIFA-Anforderungen zu erfüllen.

25. Dezember 2017

Wir haben die Tribünen des Stadions in typische Sektoren unterteilt und eine Funkuntersuchung eines typischen Sektors durchgeführt. Für die Prüfung haben wir Cisco Systems gebeten, die AIR-CAP3702E-Punkte mit vom Anbieter angebotenen Antennen zu testen. Nach den Ergebnissen der Umfrage konnten Möglichkeiten zur Befestigung der Geräte aufgezeigt werden. Damit die Lüfter die Zugangspunkte nicht erreichen können, sind spezielle Montagehalterungen erforderlich. Wir müssen sie auf Bestellung herstellen, und je nach den typischen Installationsorten der Zugangspunkte werden verschiedene Arten von Halterungen erwartet. Wir brauchen auch Montageboxen, wie Die vom Anbieter vorgeschlagenen Zugangspunkte sind nicht vandalensicher, und die vandalensicheren Zugangspunkte von Cisco für HD-WLAN sind viel teurer und werden für das Spiel zwischen Russland und Brasilien sicherlich nicht auf der Website angezeigt.

28. Dezember 2017

Die Designer erhielten die Ergebnisse einer Funkuntersuchung eines Sektors des Stadions und stellten nach diesen Daten eine Aufgabe für die Lieferung von SCS-Kabeln für alle Sektoren. Beschlossen über die erforderliche Anzahl von Zugangspunkten - 430 Stück. Dies ermöglichte es uns, mit dem Kauf von Punkten zu beginnen, dem Hersteller von Halterungen und Montageboxen eine Aufgabe zu erteilen und herauszufinden, welche Cross-Access-Switches installiert werden müssen, um unsere Access Points verbinden zu können. Es ist bereits klar, dass das Projekt 12 verschiedene Arten von Montagehalterungen benötigt. Der Kauf von Halterungen muss vorerst auf eine Pilotcharge beschränkt sein, da der Kunde zunächst die Lösung in Form von Sachleistungen sehen und sicherstellen muss, dass die Zugangspunkte niemanden stören. Die Spezifikation für Zugangsschalter, Antennen und Wi-Fi-Punkte wurde in der Reihenfolge vollständig angegeben. Wenn die bestellte Ausrüstung Ende Februar eintrifft, haben wir nur einen Monat vor Beginn des Testspiels Zeit.

Ein Fragment der Installationszeichnung einer der im Stadion verwendeten Halterungen

15. Januar 2018

Das Stadion ist kalt, aber es gibt keine starken Fröste. Dadurch können unsere Installateure in zwei Schichten Kabel zu den Installationsorten des Zugangspunkts ziehen. Die ersten Pilotmuster von Montagewinkeln sind eingetroffen. Da die Zugangspunkte noch nicht eingerichtet wurden, beschlossen sie, eine Pilotinstallation mit Geräten durchzuführen, die zuvor von Cisco Systems für die Durchführung von Funkuntersuchungen verwendet wurden.

In der Zwischenzeit arbeiten die Ingenieure an einer Lösung für die SMS-Authentifizierung von Abonnenten. Ein separates Subsystem sollte dafür verantwortlich sein. Es gibt mehrere Softwarehersteller und Telekommunikationsbetreiber auf dem Markt, bei denen Sie dieses Subsystem kaufen können - entweder als Software oder als Dienstleistung. Wir haben uns für ein Produkt namens WNAM von Netams LLC entschieden, das für uns im Otkritie Arena-Stadion gearbeitet hat. So sollte alles allgemein aussehen.

Allgemeine Systemarchitektur

WNAM kommuniziert mit Wi-Fi-Controllern über das RADIUS-Protokoll. Wenn ein Teilnehmer versucht, eine Verbindung zur SSID herzustellen, fragt der Controller WNAM, ob in der Datenbank der registrierten Benutzer ein Client mit der MAC-Adresse vorhanden ist, von der die Verbindungsanforderung stammt. In diesem Fall erhält der Kunde Zugang zum Internet und wird optional auf die Startwebsite umgeleitet (in unserem Fall das FIFA-Portal welcome2018.com). Ist dies nicht der Fall, leitet der Controller den Benutzer zum Authentifizierungsportal weiter und lässt ihn bis auf dieses Portal bisher nicht ein. Das Portal ist eine Webseite, die sich auf dem WNAM-Autorisierungsserver dreht. Das Design des Authentifizierungsportals für jedes Projekt ist einzigartig und wird separat entwickelt (in unserem speziellen Fall wurde es von der FIFA-Organisationskommission gesendet). Während der Weltmeisterschaft sollte die Startseite für die Authentifizierung folgendermaßen aussehen:


Sobald der Benutzer seine Telefonnummer eingibt, generiert WNAM einen Autorisierungscode und sendet ihn als SMS über das Dienstprogramm kannel über das SMPP-Protokoll an den SMS-Betreiber und letzteres über den entsprechenden Mobilfunkbetreiber an den Endbenutzer.

Für den Datenaustausch mit dem Betreiber benötigen wir in unserem Fall einen IPSEC-Tunnel und natürlich eine Vereinbarung, nach der dieser SMS-Betreiber mit uns zusammenarbeitet.

Dem Betreiber wird das Senden jeder SMS-Nachricht in Rechnung gestellt. Der Auftragnehmer muss in diesem Fall den Eigentümer der Wi-Fi-Infrastruktur bezahlen. (Tatsächlich können Sie dem Abonnenten einen einmaligen Code im Webportal geben und ihn dann bitten, diesen Code an die Nummer des SMS-Betreibers zu senden. In diesem Fall zahlt der Abonnent für das Senden der SMS, aber wir sind diesen Weg nicht gegangen.)

Nach erfolgreicher Zustellung der SMS-Nachricht generiert der Mobilfunkbetreiber einen Zustellungsbericht in die entgegengesetzte Richtung, der den Empfang der SMS bestätigt. Diese Nachricht wird vom SMS-Betreiber an WNAM gesendet, sodass wir wissen, ob der Teilnehmer ein Einmalpasswort erhalten hat oder nicht.

Der Benutzer wird aufgefordert, ein Kennwort im Portal einzugeben. Wenn das Passwort korrekt ist, weist WNAM den Controller an, den Teilnehmer zu autorisieren und ihm Zugang zum Internet zu gewähren.

1. Februar 2018

Wi-Fi-Controller, Zugriffsschalter und Firewalls kamen auf die Website. Die Ausrüstung wurde installiert und die Inbetriebnahme gestartet. Die Kollegen von Netams haben mit der Einrichtung von WNAM begonnen. In der Zwischenzeit erhielt der Kunde einen Anruf von den zuständigen Abteilungen und wurde an die hohe Verantwortung erinnert, die wir alle in Bezug auf die Entwicklung potenzieller Informationssicherheitsvorfälle bei WM-Spielen tragen.

Um Zeit zu sparen, verhandeln wir aktiv informell mit dem Kunden über Pilotmontageeinheiten. Wir erklären, dass die Antennen und Zugangspunkte bereits gekauft wurden und zum Objekt gehen. Das Maximum, das wir unter extrem engen Fristen ändern können, besteht darin, die Punkte leicht zu verschieben oder die Halterungen leicht zu befestigen. Andernfalls kann das Projekt minimiert werden. Der Kunde geht weiter und nimmt nur minimale Anpassungen an den Pilotlösungen vor. Daher koordinieren wir langsam die Entwurfschargen typischer Montagehalterungen für die Bestellung.

12. Februar 2018

Das Organisationskomitee schickte den Fans bestimmte Anforderungen an das Wi-Fi-Netzwerk. Die wichtigsten Änderungen betreffen die statistischen Berichte, die das Organisationskomitee bei jedem WM-Spiel von uns verlangen wird. Einige Anforderungen sind sehr spezifisch. Neben offensichtlichen Dingen wie Zeitplänen für das Herunterladen von Kommunikationskanälen und der Anzahl der Teilnehmer müssen das Verhältnis der Benutzer im 2,4- und 5-GHz-Band sowie Daten darüber berechnet werden, wie die Teilnehmer die verschiedenen Authentifizierungsstufen durchlaufen und sogar nach Ländern aufgeschlüsselt sind, aus denen diese Teilnehmer gekommen sind . Die FIFA-Organisationskommission wollte Statistiken nicht nur in Form interaktiver Diagramme, sondern auch in Form von Tabellen mit der Möglichkeit, Daten automatisch in Excel und PDF zu exportieren, und vor dem Export die Option festlegen, für welchen Zeitraum Daten benötigt werden sollten. Diese Anforderungen führten zur Idee eines separaten „Umbrella“ -Systems zum Sammeln und Analysieren von Statistiken, in dem Daten aus verschiedenen Komponenten des Dienstes zusammengefasst werden, da Informationen zur Nutzung der Kanäle von Telekommunikationsbetreibern beispielsweise aus der Firewall, Authentifizierungsstatistiken aus den WNAM-Protokollen und entnommen werden sollten Daten zur Anzahl der Teilnehmer im 2,4- und 5-GHz-Band - nur auf Controllern und nirgendwo anders. So erschien in unserem Projekt schwere Artillerie in Form eines Systems zum Sammeln und Analysieren von Statistiken Splunk Enterprise.

14. Februar 2018

Quelle

Aber was ist mit Beschwerden über schlechte WLAN-Leistung? Wie wird der Dienst bewertet? Wenn Sie nicht alle Komponenten steuern, gibt es zu viele "schwebende" Probleme, und von Abonnenten erhaltene Ereignisbeschreibungen benötigen nur Zeit. Warum nicht einige Geräte im Stadion verteilen, die sich in einem Wi-Fi-Netzwerk genauso verhalten wie unsere Benutzer, und uns gleichzeitig detaillierte Protokolle darüber senden, wie die Dinge wirklich sind? Dies sollten Geräte sein, die sich selbst mit einem Wi-Fi-Netzwerk verbinden, sich bei WNAM authentifizieren, im Internet surfen, die Verbindung trennen und alles immer wieder gemäß dem Skript ausführen können und uns bei jedem Schritt detaillierte Protokolle senden. All dies sollte natürlich immer noch kostengünstig sein, da das Projektbudget fast erschöpft ist. Es wird notwendig sein, dieses Thema mit Ingenieuren zu besprechen, es kann möglich sein, sich etwas auszudenken.

15. Februar 2018

Wir haben mit Ingenieuren die Idee einer proaktiven Überwachung von Wi-Fi durch Simulation der Benutzeraktivität diskutiert. Sie erinnerten sich an den Raspberry Pi. Theoretisch kann es mit der Funktionalität eines Mobilgeräts ausgestattet werden, wenn es mit einem GSM-Modem mit einer SIM-Karte ausgestattet ist, das SMS mit einem einmaligen Authentifizierungscode empfängt. Das Produkt kann über einen PoE-Extraktor mit PoE betrieben werden.

Aussehen Raspberry Pi 3 Modell B ohne Gehäuse

26. Februar 2018

Die Ingenieure haben ein Projekt eines proaktiven Überwachungsgeräts veröffentlicht, das auf dem Raspberry Pi 3 Modell B basiert. Es ist geplant, einen Wi-Fi-Adapter Wi-Fi D-Link DWA-171 / RU / A1A daran anzuschließen, da der interne Wi-Fi-Adapter keine Netzwerkunterstützung in der Reichweite hat 5 GHz (es ist schade, dass die B + -Version, in der ein integrierter Adapter für beide Bänder vorhanden ist, einen Monat später veröffentlicht wird) sowie das Huawei E3372h-153USB 3G / GSM-Modem mit einer SIM-Karte. Der Minicomputer kann über den Upvel UP-102S Intermediate PoE Extractor mit Strom versorgt werden. All dies wird in einer Plastikhülle verpackt.

Auf dem Minicomputer des Raspbian-Betriebssystems sind der Firefox-Internetbrowser und die Splunk-Weiterleitungskomponente installiert, die die Protokolle an Splunk Enterprise weiterleiten sollen. Das Aktivitätsszenario für Mikrocomputer wird durch ein separates Python-Skript festgelegt. Protokolle werden über kabelgebundenes Ethernet und nicht über WLAN gesendet. Dies ist ein weiterer Vorteil der Lösung.

Das Überprüfungsskript basiert auf der Interaktion mit dem Browser und der Ausführung von Aktionen, die denen des Benutzers bei der Arbeit mit Wi-Fi ähneln (Laden der Authentifizierungsseite, Eingabe der Nummer, unter der die SIM-Karte registriert ist, Eingabe des empfangenen Codes per SMS) Internet-Geschwindigkeitstests). Die für die Python-Sprache erstellte Selenium-Bibliothek war dafür ideal geeignet.

Hier ist ein Produkt. Auf dem Foto - der Fall mit abgenommener Abdeckung.

28. Februar 2018

Der Kunde mochte die Idee mit Raspberry. Er erklärte sich bereit, 50 Minicomputer in die Lösung aufzunehmen und für sie SIM-Karten von drei Mobilfunkbetreibern zu kaufen. Wenn jetzt während eines Spiels jemand anruft und sich über schlechte WLAN-Leistung beschwert, stehen uns 50 Referenzgeräte zur Verfügung, mit denen Sie das Gesamtbild der Funktionsweise des Dienstes im Stadion anzeigen können.

5. März 2018

Die erste Charge von Montagewinkeln kam. Alle Zugangspunkte und Antennen befinden sich bereits in der Einrichtung, die SCS-Kabel sind verlängert und es gibt nicht genügend Halterungen. Wir besteigen was ist. Wir haben mit dem Kunden vereinbart, dass für das Testspiel Russland-Brasilien Zugangspunkte zu Standardsektoren eingerichtet werden, um die Richtigkeit der Entscheidungen über die Vereinbarung überprüfen zu können. Es ist schade, dass wir vor der Eröffnungsfeier definitiv keine Zeit haben werden, die Himbeere zu testen.

15. März 2018

Wir wurden zum nächsten Treffen zum Thema Informationssicherheit eingeladen. Während des Treffens fragten wir, welche IB-Risiken während der Meisterschaft am bedeutendsten wären. Es stellte sich heraus, dass das Unangenehmste, was passieren konnte, die Ausstrahlung extremistischer Inhalte auf der Videowand des Stadions ist. Wir fragten, was passieren würde, wenn jemand während des Spiels an ein Match dachte, um Pornografie auf der Anzeigetafel anzuzeigen. Uns wurde gesagt, dass dies natürlich auch unangenehm ist, aber es gibt schlimmere Dinge.

20. März 2018

-2, -3 , - . WNAM 3, IP , MAC- SIM- , .

23 2018 . « — »

, . ( 50% ) Wi-Fi , . – , , - .



. , . . - . . , .

- -: , , , AD DS, Wi-Fi… , Splunk Enterprise. Splunk Enterprise - , . Wi-Fi .

, 2,4 5 ( , , Splunk' API Wi-Fi Cisco HPE HP IMC, HP, Cisco Prime, Cisco).

, , . , « ». -2018 «».

, , . , . - , , . , , .

. , , Splunk, . , , , , , , . . .

16 2018

, , , . SIM- , , , , .

SMS-. - Wi-Fi , FAN-ID . WNAM SMS- FAN-ID. , FAN ID, , .

15 2018

WNAM SIM-. FAN ID , FAN ID .

- - . . , Raspberry, . 14 .

12 2018

, Wi-Fi, . Wi-Fi , . , , . .

14 . «- »

- «», - . — , « . . ». .

, , – - VIP-, . , , .

Quelle

. , . , , , . . . , Wi-Fi, .

- . , SMS- – 30% 50%. , , . , .

. HD WI-FI

15 2018

WNAM , WiFi HD - FAN ID. , , , . , , . FIFA , Wi-Fi :

• , ,
• , ,
• , - .

17 2018 . « — »

Wi-Fi VIP-. -. - . – . - . . . . Wi-Fi.

. , :

– . ?

. , - . :

– FAN ID. , .

– , – , – Instagram. -, . . , .

- . , . , .

Quelle

18 2018

, , . Raspberry Pi, - , . , , Raspberry , Wi-Fi . , , . Splunk WNAM , . , .

Raspberry , , . , 15 . Firefox PhantomJS, . Splunk' .

50 Ansible.

: , , Raspberry . , SMS-, , . SMS- , WNAM', , , .

20 2018 . «-»

"Was zum Teufel macht Marokko damit?" „Unser WNAM-Überwachungstechniker rief in Eile aus, als er eine wachsende Warteschlange beim Senden ausgehender SMS-Nachrichten ohne Zustellungsbericht sah. Wir hatten Statistiken in den Protokollen zum Senden von SMS-Nachrichten für alle Betreiber, die Codes in offenen Datenbanken haben, und wir konnten sehen, in welchen Ländern SMS normal empfangen werden und welche mit Verzögerung. Das Königreich Marokko hat in unserer Statistik eine starke Außenseiterposition. Zu Beginn des zweiten Halbjahres wurde beschlossen, das Mailing an einen anderen SMS-Betreiber umzuleiten, was die Situation etwas verbesserte.

26. Juni 2018. Spiel Dänemark-Frankreich

Quelle

Die übliche Live-Übertragung des Spiels aus dem Stadion war im Fernsehen. Wir müssen uns die Sendung ansehen, um die Dynamik der Wi-Fi-Client-Aktivität zu spüren: Während des Spiels fällt sie und im Gegenteil, sie wächst in den Pausen.

Im Vergleich zum Spiel zwischen Portugal und Marokko erwies sich die Begleitung als entspannter, da Dänemark und Frankreich europäische Länder sind und die SMS-Statistiken für sie erwartungsgemäß besser waren als für Marokko. Aus diesem Grund haben wir das Spiel dem Debuggen von Rasberry-Skripten gewidmet und waren von diesem Prozess so begeistert, dass wir erst am Ende des Spiels feststellten, dass die ganze Zeit über ein völlig anderes Spiel im Fernsehen ausgestrahlt wurde, nicht aus dem Luzhniki-Stadion, sondern aus dem Fisht-Stadion.

Nach dem Match, in der U-Bahn, blieb ein Typ mit Fragen bei mir:

- Hören Sie, und wer hat gerade im Luzhniki-Stadion gespielt?

Ich erinnere mich kaum an die Namen der Mannschaften:

- Dänemark und Frankreich. Ja, Frankreich.

- Und wie hoch ist die Punktzahl?

Ich kann mich überhaupt nicht an das Ergebnis erinnern, weil ich das Spiel nicht gesehen habe, und das habe ich gemeldet. Als der Mann bemerkte, dass ich aus dem Stadion ging und die Punktzahl nicht kannte, sah er mich mit unverhohlenem Erstaunen an.

11. Juli 2018, Spiel England - Kroatien

In der Mitte der zweiten Hälfte wurde eine verdächtige Netzwerkaktivität eines der verbundenen Teilnehmer in der Firewall festgestellt. Von seiner IP-Adresse aus blockierte die Firewall eine große Anzahl von Verbindungen an nicht standardmäßigen Ports (die durch die Firewall-Richtlinie geschlossen wurden). Anfragen gingen an Russland, die GUS-Staaten und Europa. Da es sich um einen IS-Vorfall handelte, machten sich die Sicherheitskräfte begeistert an die Arbeit.

Mithilfe von WNAM-Protokollen haben wir die Telefonnummer berechnet, unter der der Teilnehmer registriert ist. Sie riefen die angegebene Nummer an. Sie stellten sich als Luzhniki-Ausbeutungsdienst vor. Sie informierten jemanden, dass wir verdächtige Netzwerkaktivitäten vom Telefon aus sehen, und möchten daher klären, ob er ein Hacker ist. Der Typ am anderen Ende der Leitung sagte uns, dass er absolut nichts verstehe. Wir sagten, dass wir in diesem Fall, wenn es ihm nichts ausmacht, seinen Zugang zum Netzwerk blockieren werden. Der Mann hatte nichts dagegen. Es bestand der Eindruck, dass er diese Initiative sogar unterstützte. Wir haben den Zugriff blockiert und die Vorfallprotokolle an den Kunden weitergeleitet.

15. Juli 2018, Frankreich-Kroatien-Spiel, Finale

Mitte des ersten Halbjahres kam ein Vertreter des Luzhniki-Einsatzdienstes in unser Hauptquartier. Er brachte einen Zuschauer mit, den wir im letzten Spiel angerufen hatten. Es stellte sich heraus, dass der Mann eine aktive Position einnahm, den Operationsdienst von Luzhniki kontaktierte und um ein Treffen bat. Er brachte ein Telefon mit und sagte, dass er keine Hacking-Versuche unternommen habe, so dass er etwas alarmiert war und gerne verstehen würde, was er behauptet.

Es stellte sich heraus, dass es sich um ein kostengünstiges Android-Smartphone von Samsung handelte, dessen schnelle Untersuchung den darauf installierten Torrent-Client sowie viele andere Software zweifelhaften Ursprungs ergab, die wahrscheinlich verdächtige Aktivitäten hervorrief. Wir empfehlen einer Person, das Telefon mit Antivirus zu scannen, unnötige Software zu entfernen und den Torrent-Client nicht zu verwenden.

Fazit

Die Beteiligung von LANIT am Wiederaufbau der IT-Infrastruktur der Luzhniki Grand Sports Arena für die Weltmeisterschaft ist beendet. Für viereinhalb Jahre Arbeit haben wir ungefähr fünfzig Niedrigstrom- und IT-Systeme sowie drei Rechenzentren gebaut, eineinhalbtausend Kameras und 650 TV-Panels aufgehängt, LANs für 12.000 Ports eingerichtet und zwei Wi-Fi-Netzwerke mit hoher Dichte für die Championship-Fans erstellt - 430 Cisco Access Points in der Stadionschale und 650 HP Access Points im Tribünenbereich.

Welche nicht offensichtlichen Merkmale wurden in der Lösung während der Inbetriebnahme und des Testbetriebs von HD WiFi bei der Luzhniki BSA identifiziert:

• Die SMS-Authentifizierung ist keine Standardlösung. Die Bereitstellung eines effektiven Systems erfordert eine hochqualifizierte Anpassung und aktive Überwachung.

  Dies ist die Entwicklung eines Authentifizierungsportals, das die Interaktion mit einem SMS-Betreiber einrichtet. Am schwierigsten ist es, die Integration mit Wi-Fi-Controllern einzurichten. Obwohl RADIUS ein Standardprotokoll ist, hat es seine eigenen Eigenschaften der Interaktion mit jedem Controller-Modell. Einige Controller-Modelle können überhaupt nicht integriert werden. Wir hatten Glück: Mit den Controllern Cisco 8510 und HPE870 funktionierte WNAM, und er weigerte sich fast bis zuletzt, mit dem HPE870 befreundet zu sein. Aufgrund der Integration beider Controller in WNAM war es irgendwie möglich, das Problem des Roamings zwischen Wi-Fi-Netzwerken auf Cisco und HPE zu lösen. Wenn eine Person vom Abdeckungsbereich eines Netzwerks in den Abdeckungsbereich eines anderen Netzes wechselte, wurden die Sitzungen natürlich beendet, aber aufgrund des Vorhandenseins einer gemeinsamen Teilnehmerdatenbank verlief die Umschaltung mehr oder weniger unmerklich.
• Die SMS-Zustellung funktioniert nicht immer so, wie wir es möchten. Besonders wenn es um exotische Länder geht.

  Es gibt viele Gründe, warum SMS zu spät ankommen können (wir kennen einige Ungarn, die 5 Minuten auf SMS mit einem Code gewartet haben) oder gar nicht ankommen. Einer davon sind Spamfilter seitens der SMS-Betreiber. Beispielsweise wird fast garantiert, dass ein einmaliger Zugangscode in SMS nicht mit einer ausländischen SIM-Karte zu einem Teilnehmer kommt, wenn die Absender-ID keine Telefonnummer, sondern ein Name ist (z. B. Luzhniki). Eine Folge von mehreren identischen Nachrichten mit derselben Nummer kann vom Bediener auch als Spam wahrgenommen und blockiert werden. Das Problem wird durch die Tatsache verschärft, dass eine Nachricht manchmal nicht von einem, sondern von einer Ihnen unbekannten Kette von SMS-Betreibern übertragen wird, von denen jeder seine eigenen Spamfiltereinstellungen hat.
• Der Teilnehmer kann die Authentifizierung aus völlig nicht offensichtlichen Gründen ablehnen.

  Nicht jeder mag die Idee, seine Handynummer im Austausch für den Internetzugang zu teilen. Eine Situation wird als normal angesehen, wenn 50% derjenigen, die auf das Authentifizierungsportal zugreifen, einen Internetzugang erhalten. Um die Servicequalität zu verbessern, ist es jedoch immer nützlich, die Gründe herauszufinden, warum Teilnehmer versucht haben, sich im Netzwerk zu registrieren, aber nicht ins Internet gelangt sind. Vielleicht können Sie etwas dagegen tun.
• HD-Stadionfans brauchen viel weniger, als wir möchten.

  Bei der Entwicklung von HD-WLAN haben wir erwartet, dass 20% der Fans es gleichzeitig nutzen, obwohl die Indikatoren in allen Spielen unter diesem Wert lagen. Unter den Methoden, mit denen wir die Anzahl der Benutzer erhöht haben, funktionierten die folgenden: Sprach- und Textansagen, dass kostenloses WLAN in der Einrichtung funktioniert, sowie Hinzufügen detaillierter Anweisungen zum Herstellen einer Verbindung zum Authentifizierungsportal.
• Sie werden niemals der einzige sein, der WLAN in der Einrichtung anbietet.

  Während des letzten Spiels haben wir einen Netzwerkscan für Rogue AP gestartet und allein auf den Tribünen des Stadions mehr als 3.000 "Alien" -Geräte gezählt, die im Access Point-Modus arbeiten. Darüber hinaus waren dies sowohl Mobiltelefone, die WLAN vertreiben, als auch spezielle Lösungen ausländischer Betreiber, beispielsweise Skyroam und Roamingman. In der Nähe der Drehkreuze am Eingang hing eine Anzeige, die die Verbreitung von WLAN im Stadion untersagte, aber sie scheint zumindest irgendwie nicht zu funktionieren.
• Die proaktive Überwachung von Wi-Fi HD, die Benutzeraktivitäten simuliert, kann effektiv sein, erfordert jedoch viel Arbeit bei der Implementierung und Wartung

  Es macht viel mehr Spaß, Daten von Raspberry-Mikrocomputern zu erhalten, als auf eine weitere Beschwerde von unzufriedenen Benutzern zu warten. Natürlich war Raspberry launisch, und das Schreiben und Debuggen von Skripten hat uns viel Zeit gekostet. Dies ermöglichte es uns jedoch, den Wi-Fi HD-Dienst aus einem anderen Blickwinkel zu betrachten, den Überwachungsprozess in eine konstruktivere Richtung zu lenken und infolgedessen mehrere „schwebende“ Fehler zu lokalisieren, die sich positiv auf die Qualität des Dienstes auswirkten. Wenn uns jemand mit Fragen zum Wi-Fi HD seiner Freundin kontaktierte, hatten wir außerdem etwas zu beantworten.