जैसे अगर आप लॉग पढ़ते हैं!: मेट्रो में वाई-फाई नेटवर्क पर हॉटस्पॉट 2.0 लॉन्च करें

हम हॉटस्पॉट 2.0 तकनीक, पहले आंकड़ों और सुरक्षा सिफारिशों का उपयोग करते हुए मेट्रो में एक बंद वाई-फाई नेटवर्क बनाने में अपना अनुभव साझा करते हैं। और हम एक नए नेटवर्क के खुले परीक्षण के लिए भी आमंत्रित करते हैं।



फरवरी के मध्य से हरे रंग में, और अप्रैल के अंत से, मास्को मेट्रो की सभी लाइनों पर एक नया बंद वाई-फाई नेटवर्क, एमटी लॉन्च किया गया था । नेटवर्क ने परीक्षण मोड में काम किया। इस बार हमने कर्मचारियों द्वारा आंतरिक परीक्षण किए, और खुले एसएसआईडी MT_FREE में पहुंच बिंदुओं और नियंत्रकों की स्थिरता, सेवा में संभावित प्रभाव का भी अवलोकन किया।

इस नेटवर्क का लॉन्च हमारे उपयोगकर्ताओं के बीच किसी का ध्यान नहीं गया। विभिन्न चैनलों के माध्यम से, हमें क्रेडेंशियल प्राप्त करने के बारे में कई प्रश्न प्राप्त हुए। लेकिन कई ने आविष्कृत खातों के माध्यम से जुड़ने के प्रयासों को नहीं छोड़ा। जब यह SSID उपलब्ध था, तब तक 14,488 अद्वितीय प्राधिकरण अनुरोध पंजीकृत किए गए थे। इसके अलावा, कुछ ग्राहकों ने उपयोगकर्ता-नाम दर्ज करने के लिए फ़ॉर्म का उपयोग करके हमें संदेश भी लिखे। इन संदेशों में से एक, वाक्यांश "जैसे अगर आप लॉग पढ़ते हैं!", विशेष रूप से पढ़ने के लिए सुखद था। परस्पर जैसा!



चलो एक बंद नेटवर्क, संभावनाओं और सीमाओं को शुरू करने के लिए आवश्यक शर्तें और हॉटस्पॉट 2.0 को लागू करने के तकनीकी पहलू पर एक संक्षिप्त नज़र डालें।

हमें एक बंद एमटी नेटवर्क की आवश्यकता क्यों है?

एक नेटवर्क या उपयोगकर्ता की विशिष्ट पहचान करने वाले क्रेडेंशियल्स का उपयोग करके एक बंद नेटवर्क शुरू करना, हमारे द्वारा बार-बार चर्चा की गई है। लॉन्च ड्राइवर मुख्य रूप से सुरक्षा मुद्दे हैं। हमारे एसएसआईडी के साथ फ़िशिंग पॉइंट से कनेक्ट होने की संभावना को बाहर करना और इसे पारदर्शी रूप से करना आवश्यक है ताकि उपयोगकर्ता से कोई अतिरिक्त कार्रवाई की आवश्यकता न हो। यद्यपि लगभग सभी संवेदनशील इंटरनेट ट्रैफ़िक टीएलएस का उपयोग करके एन्क्रिप्ट किया गया है, ग्राहक बिना एन्क्रिप्शन के वाई-फाई नेटवर्क को कम विश्वसनीय मानते हैं।

क्रेडेंशियल प्राधिकरण के साथ एक नेटवर्क शुरू करने का एक अन्य कारण वाई-फाई नेटवर्क से कनेक्ट होने पर उपकरणों के मैक पते को यादृच्छिक बनाने के लिए प्रवृत्ति है। एंड्रॉइड डिवाइस पर यह प्रवृत्ति तेजी से स्पष्ट हो रही है। इसके अलावा, यदि पहले चर मैक पते सस्ती स्मार्टफोन (मुख्य रूप से चीनी) की एक विशेषता थे और केवल मैक पते के आधिकारिक रूप से आरक्षित पूल की कमी के कारण निर्माताओं द्वारा उपयोग किए जाते थे, तो हाल ही में Google ने आधिकारिक तौर पर एंड्रॉइड ओएस में ऐसी तकनीक की शुरुआत की घोषणा की ताकि ग्राहकों की ट्रैकिंग को रोका जा सके। यह रूस में सार्वजनिक वाई-फाई के पूर्ण उपयोग के लिए बाधाएं पैदा करता है, क्योंकि प्रत्येक प्रवेश द्वार पर डिवाइस की पुन: पहचान की आवश्यकता होगी (सरकार के अनुसार 758 और 801 के अनुसार)। इस प्रकार, मैक एड्रेस धीरे-धीरे नेटवर्क पर डिवाइस की पहचान करने का एक स्वीकार्य साधन बन जाता है।

एक नज़र में हॉटस्पॉट सुविधाएँ

इन समस्याओं के समाधान की तलाश में, हमने अपना ध्यान हॉटस्पॉट 2.0 तकनीक की ओर दिया, जिसे वाई-फाई एलायंस और वायरलेस ब्रॉडबैंड एलायंस सहित विकसित किया जा रहा है। पहली समीक्षा में, प्रौद्योगिकी को सभी उभरती जरूरतों को बंद करना चाहिए - एक विश्वसनीय एसएसआईडी के लिए एक सुरक्षित कनेक्शन और एक एन्क्रिप्टेड कनेक्शन। नीचे वाहक वाई-फाई नेटवर्क और वर्तमान स्थिति के संगठन के लिए नए प्रतिमान की तुलना है।


हॉटस्पॉट 2.0 प्रौद्योगिकी की शुरुआत से पहले और बाद में वाई-फाई नेटवर्क के संगठन के दृष्टिकोण की तुलना।

हॉटस्पॉट 2.0 स्टैक में तीन प्रमुख प्रौद्योगिकियां शामिल हैं:

• SSID की परवाह किए बिना नेटवर्क से कनेक्ट करने और उपयोगकर्ता द्वारा कार्रवाई (802.11u) के बिना डिवाइस द्वारा कनेक्शन बनाने के बारे में निर्णय लेने की क्षमता

• नेटवर्क का सुरक्षित और निजी उपयोग - रेडियो भाग पर यातायात का एन्क्रिप्शन (802.11i, या सभी WPA2 के लिए जाना जाता वाई-फाई एलायंस की शब्दावली में);

• क्रेडेंशियल और क्रेडेंशियल मैनेजमेंट (EAP, प्रोविज़निंग) के लिए प्रमाणीकरण और प्राधिकरण विधियों का एक सेट।

प्रौद्योगिकी काफी युवा है, पहली रिलीज 2012 के अंत में हुई थी, लेकिन यह काफी सक्रिय रूप से विकसित हो रही है। इस साल के फरवरी के अंत में, तीसरी रिलीज की घोषणा की गई थी। यह ध्यान देने योग्य है कि हॉटस्पॉट 2.0 का पारिस्थितिकी तंत्र न केवल वाई-फाई एलायंस विकसित कर रहा है।



अगर मुझे लगता है कि कई पाठक हॉटस्पॉट 2.0 तकनीक को ऑफ़-लोड (ट्रैफ़िक अनलोडिंग) से वाई-फाई नेटवर्क से मोबाइल से जोड़ते हैं, तो मुझे गलत समझने की संभावना नहीं है।

दरअसल, मोबाइल ऑपरेटरों के बीच हॉटस्पॉट 2.0 का सबसे बड़ा कार्यान्वयन हुआ है, और एटीएंडटी यहां अग्रणी है। इसके लिए एक स्पष्टीकरण है - मोबाइल संचार के संचालन के लिए एक शर्त एक भौतिक या आभासी सिम कार्ड की डिवाइस में उपस्थिति है। साथ में ऑपरेटर प्रोफाइल और उन्हें "ओवर द एयर" अपडेट करने की संभावना के साथ, यह स्थिति क्लाइंट के लिए पारदर्शी प्रावधान प्रदान करती है (हॉटस्पॉट 2.0 के संदर्भ में, क्रेडेंशियल्स का हस्तांतरण, उनकी मान्यता और ऑपरेटिंग सिस्टम में आवेदन)।

उसी समय, एक मोबाइल नेटवर्क में अनुभव की तुलना में एक वाहक के वाई-फाई नेटवर्क में ग्राहक अनुभव तुलनात्मक (और, कुछ शर्तों के तहत, बेहतर) हो जाता है। यह मामला एमवीएनओ-ऑपरेटरों के लिए भी लागू है, लेकिन यह सब मेजबान-ऑपरेटर के साथ काम करने की योजना पर निर्भर करता है। हमारे जैसे अन्य ऑपरेटरों के लिए, मुख्य चुनौती डिवाइस प्रोविजनिंग और इससे जुड़ी हर चीज का मुद्दा है। आइए इसे जानने की कोशिश करते हैं।

यह सब क्रेडेंशियल के बारे में है

क्रेडेंशियल एक इकाई है जो विशिष्ट रूप से एक उपयोगकर्ता की पहचान करता है। इस डेटा को सुरक्षित रूप से संरक्षित किया जाना चाहिए ताकि कोई हमलावर इसे रोक न सके और इसका पुन: उपयोग न कर सके। क्रेडेंशियल्स की उपस्थिति मैक प्रमाणीकरण की समस्या को हल करती है, जब आप किसी स्निफर का उपयोग करके रेडियो को "सुन" सकते हैं, किसी और के डिवाइस से मैक पते का पता लगा सकते हैं और बदल सकते हैं।

सबसे आम प्रकार के क्रेडेंशियल और प्रमाणीकरण विधियाँ हैं:

• सिम कार्ड, EAP-SIM, EAP-AKA विधियाँ

• लॉगिन और पासवर्ड जोड़ी, EAP-PEAP, EAP-TTLS

• प्रमाण पत्र, ईएपी-टीएलएस

सेल्युलर और एमवीएनओ ऑपरेटर अपने स्वयं के सिम कार्ड के साथ एक विशेषाधिकार प्राप्त स्थिति में हैं - वाई-फाई नेटवर्क के लिए उपयुक्त क्रेडेंशियल्स पहले से ही फोन में हैं, वे मज़बूती से संरक्षित हैं और क्लाइंट से अतिरिक्त कार्यों की आवश्यकता नहीं है। दूसरों को क्या करना चाहिए?

मैनुअल कॉन्फ़िगरेशन एक जटिल प्रक्रिया है, जो विशेष रूप से ओएस पर अत्यधिक निर्भर है। ग्राहकों के लिए, यह बेहद असुविधाजनक है। स्वचालित डिवाइस सेटअप वाले नेटवर्क पर क्रेडेंशियल्स स्थानांतरित करना एक अच्छा समाधान हो सकता है। इस प्रक्रिया को प्रोविजनिंग कहा जाएगा, और यहां विकास के वर्तमान चरण में प्रौद्योगिकी की मुख्य सीमा निहित है।

हॉटस्पॉट 2.0 का विकास

फिलहाल, तीन हॉटस्पॉट रिलीज़ 1, 2, 3 के साथ जारी किए गए हैं। और तकनीक को अभी भी 2.0 कहा जाता है। वास्तव में, हॉटस्पॉट 2.0 मानकों का एक समूह है जो वाहक वाई-फाई नेटवर्क के आयोजन के लिए एक नए दृष्टिकोण को परिभाषित करता है, जब ऐसे नेटवर्क का उपयोग करने का अनुभव मोबाइल नेटवर्क का उपयोग करने के लिए तुलनीय है। और रिलीज (1, 2, 3) के ढांचे के भीतर, मानक स्वयं बनते हैं, जिसके लिए उपकरण प्रमाणित होते हैं।

तो, पहली रिलीज और अंशकालिक प्रौद्योगिकी आधार का मुख्य "चाल" IEEE 802.11u मानक है। 802.11u के लिए वाई-फाई नेटवर्क के बुनियादी ढांचे (एक्सेस पॉइंट्स और कंट्रोलर्स), और क्लाइंट डिवाइसों की तरफ दोनों की आवश्यकता होती है। हार्डवेयर के साथ स्थिति में, कोई विशेष समस्याएं नहीं हैं: अधिक से अधिक विक्रेता मानक का समर्थन करते हैं, क्योंकि अधिक या कम आधुनिक चिप्स पर, सॉफ्टवेयर प्रोटोकॉल का कार्यान्वयन। लेकिन हम क्लाइंट डिवाइस के साथ स्थिति की थोड़ी देर बाद जांच करेंगे।

दूसरी रिलीज में प्रोविजनिंग प्रक्रिया और एक नए विशिष्ट इंफ्रास्ट्रक्चर - ऑनलाइन साइनअप सर्वर (ओएसयू) का मानकीकरण किया गया है। यह एक सर्वर है जो क्लाइंट डिवाइसों के लिए नेटवर्क सेटिंग्स के गठन और प्रसारण को निष्पादित करता है।

हाल ही में प्रकाशित रिलीज़ 3 प्रोविजनिंग टूल विकसित करता है । एक सरसरी स्कैन में, मैंने नए "किलर फीचर्स" पर ध्यान नहीं दिया, और व्यवहार में इसे महसूस करने के लिए किसी भी उपकरण या बुनियादी ढांचे को हाथ नहीं लगाया। यदि हम पाठकों की रुचि देखते हैं, तो हम दूसरे लेख में प्रत्येक रिलीज़ के कार्यों और मतभेदों को अधिक विस्तार से जांचने का प्रयास कर सकते हैं।

Provizhening

हम क्लाइंट उपकरणों पर हॉटस्पॉट प्रौद्योगिकी स्टैक के प्रवेश के मुद्दे की जांच करते हैं। ऐसा करने के लिए, हम वाई-फाई एलायंस से उपकरण का उपयोग करेंगे, जो उपकरणों के प्रमाणन के परिणाम प्रस्तुत करता है। प्रमाणन एक स्वैच्छिक प्रक्रिया है, इसलिए परिणाम सभी उपकरणों के लिए नहीं हैं। उदाहरण के लिए, Apple के केवल कुछ डिवाइस ने प्रमाणीकरण पारित किया - iPhone 3, iPhone 4, iPad। फिर भी, सभी मौजूदा आईओएस डिवाइस सभी आवश्यक हॉटस्पॉट 2.0 स्टैक का समर्थन करते हैं, और, महत्वपूर्ण बात, वे इसे संस्करण से संस्करण तक लगभग उसी तरह करते हैं।

इस प्रकार, हम 2012 से अवधि (पहली रिलीज का प्रकाशन) के लिए, आईओएस उपकरणों के अपवाद के साथ प्रमाणन परिणामों को देखते हैं। हम नीचे दिए गए आरेख के रूप में प्राप्त आंकड़ों की कल्पना करते हैं। निष्कर्ष - केवल हर पांचवें गैर-आईओएस डिवाइस पहली रिलीज (802.11u) का समर्थन करता है, हर दसवें - में एक मानकीकृत प्रावधान इंटरफ़ेस है। यह स्थिति बड़े पैमाने पर एप्लिकेशन को जटिल बनाती है।


क्लाइंट डिवाइसों पर iOS (को छोड़कर) पर हॉटस्पॉट 2.0 का पेनेट्रेशन

तकनीकी दृष्टिकोण से, प्रावधान का नतीजा एक विशिष्ट SSID या वाई-फाई नेटवर्क के लिए वैध क्रेडेंशियल्स और अन्य आवश्यक सेटिंग्स के उपकरण पर उपस्थिति है। दूसरी रिलीज़ ने एक्सएमएल दस्तावेज़ों के रूप में नेटवर्क सेटिंग्स का प्रतिनिधित्व करने और उपकरणों को उनके हस्तांतरण के लिए तंत्र के लिए संरचना को मानकीकृत किया। नेटवर्क सेटिंग्स का एक सेट, जिसमें विशेष रूप से, क्रेडेंशियल्स होते हैं, नेटवर्क प्रोफाइल कहलाता है। प्रारंभ में, ऐप्पल द्वारा एक समान समाधान प्रस्तावित किया गया था, लेकिन अंत में इसके विकास को महत्वपूर्ण परिवर्तनों के साथ मानकीकृत किया गया था। नीचे स्क्रीनशॉट iOS के लिए एक उदाहरण प्रोफ़ाइल है। इसके अलावा, कोई भी मैक OS उपयोगकर्ता Apple विन्यासक उपयोगिता का उपयोग करके और आधिकारिक प्रलेखन का पालन करके प्रोफाइल बनाने का अभ्यास कर सकता है।


IOS के लिए उदाहरण प्रोफ़ाइल

उपयोगकर्ता के लिए प्रावधान प्रक्रिया क्या दिखती है? बाजार पर कई वाणिज्यिक OSU समाधान हैं - GlobalReach Odyssys, Ruckus CloudPath, Aruba ClearPass - इसलिए हम उनमें से एक का उपयोग करके प्रक्रिया को एक उदाहरण के रूप में देख सकते हैं। लिंक GlobalReach ओडिसी से समाधान के लिए स्क्रीनशॉट प्रदान करता है। लिंक को केवल सफारी ब्राउज़र में खोलने की आवश्यकता है, अन्यथा स्मार्टफ़ोन ओएस प्रोफ़ाइल फ़ाइल (mobileconfig एक्सटेंशन) को नहीं पहचानेगा और इसे स्थापित करने की पेशकश नहीं करेगा।

यहां प्रोफ़ाइल सेटिंग को उपयोगकर्ता की ओर से अधिकतम चरणों के साथ दिखाया गया है, उदाहरण के लिए, जब स्मार्टफोन के अलावा एक ऐप्पल वॉच भी है (हाँ, आप घड़ी पर एक प्रोफ़ाइल डाल सकते हैं और यह वाई-फाई से कनेक्ट हो जाएगा)। IOS उपकरणों का वेब-प्रोविजनिंग केवल सफ़ारी ब्राउज़र के माध्यम से संभव है, यह एक OS आवश्यकता है। संस्करण के आधार पर एंड्रॉइड डिवाइस की व्यवस्था, ब्राउज़र के माध्यम से और एप्लिकेशन का उपयोग करके किया जा सकता है।





सामान्य तौर पर, नेटवर्क सेटअप एल्गोरिदम सभी उपकरणों के लिए समान होता है:

• उपयोगकर्ता एक खुले वाई-फाई नेटवर्क से जुड़ता है (एक विशेष बंद नेटवर्क से जुड़ने का एक परिदृश्य जहां केवल OSU उपलब्ध होगा) या OSU पेज खोलने के लिए मोबाइल इंटरनेट का उपयोग करता है;

• अगले चरण में, हम उपयोगकर्ता की पहचान करते हैं (एसएमएस द्वारा पुष्टि, आपके व्यक्तिगत खाते से क्रेडेंशियल्स दर्ज करना, एप्लिकेशन के माध्यम से पहचान);

• बैकएंड की तरफ, हम क्रेडेंशियल्स उत्पन्न करते हैं, उपयोगकर्ता को बचाते हैं और संचारित करते हैं;

• क्रेडेंशियल्स और नेटवर्क सेटिंग्स उपयोगकर्ता के डिवाइस पर संग्रहीत हैं;

• डिवाइस हॉटस्पॉट 2.0 नेटवर्क पर काम करने के लिए तैयार है, डिवाइस से कोई अतिरिक्त कार्रवाई की आवश्यकता नहीं है, आपको बस ऐसे नेटवर्क के कवरेज क्षेत्र में रहने की आवश्यकता है।

हमारे दृष्टिकोण से, और मुझे लगता है कि दर्शक इस बात से सहमत होंगे, वेब प्रोविजनिंग के लिए उपयोगकर्ता से बहुत अधिक कार्रवाई की आवश्यकता होती है, और यह प्रक्रिया स्वयं पारदर्शी नहीं होती है। किसी के पास कोई प्रश्न नहीं है कि फॉर्म में क्या पासवर्ड दर्ज किया जाना चाहिए?

एप्लिकेशन का उपयोग करने से एक या दो तक न्यूनतम कार्रवाई की आवश्यकता कम हो जाती है। लेकिन, दुर्भाग्य से, तकनीक सक्रिय रूप से केवल वेब-प्रोविजनिंग, मोबाइल डिवाइस मैनेजमेंट प्रोटोकॉल (ओएएम डीएम) के विकास और मानकीकरण की ओर बढ़ रही है, जबकि आवेदन का उपयोग करने की संभावना मानक में परिलक्षित नहीं होती है। फिर भी, मोबाइल ओएस के निर्माता हॉटस्पॉट 2.0 नेटवर्क सेटिंग्स के लिए सॉफ्टवेयर सेटिंग्स की कार्यक्षमता का परिचय दे रहे हैं, लेकिन विभिन्न विक्रेताओं के कार्यान्वयन में काफी भिन्नता है, कोई सार्वभौमिकता नहीं है।

उप-योग

उपरोक्त सभी को संक्षेप में, हम समीक्षा के संक्षिप्त परिणामों और प्रौद्योगिकी की वर्तमान स्थिति का सारांश देते हैं:

• मैक पते को यादृच्छिक करने की समस्या को हल कर सकते हैं;

• यह हमारे उपयोगकर्ताओं के लिए साइबर अपराधियों के नकली एसएसआईडी से जुड़ने की संभावना को बाहर कर सकता है;

• विश्वसनीय प्रावधान की आवश्यकता है;

• Android उपकरणों पर प्रौद्योगिकी स्टैक (802.11u, प्रोविजनिंग) के हिस्से की कम पैठ;

• मानकीकृत वेब-प्रावधान;

• ओएमए डीएम प्रोटोकॉल का उपयोग करने वाले प्रावधान मानकीकृत हैं, जिनमें से दायरा कॉर्पोरेट नेटवर्क तक सीमित है;

• मानकीकरण के बावजूद, कार्यान्वयन और समर्थित कार्यक्षमता विक्रेता (विशेष रूप से एंड्रॉइड के लिए प्रासंगिक) पर निर्भर करती है।

प्रौद्योगिकी के महत्वपूर्ण लाभों के साथ-साथ इसके विकास की वर्तमान स्थिति को देखते हुए, हमने अपने नेटवर्क पर हॉटस्पॉट 2.0 को पेश करने का निर्णय लिया।

बड़े पैमाने पर नेटवर्क पर हॉटस्पॉट 2.0 का कार्यान्वयन

लॉन्च प्रक्रिया के दौरान कई बड़ी समस्याओं को हल करना आवश्यक था।

1. वायरलेस नेटवर्क उपकरण में परिवर्तन

मॉस्को और सेंट पीटर्सबर्ग मेट्रो में हमारे सबसे बड़े नेटवर्क, सिस्को उपकरण पर बनाए गए हैं जो हॉटस्पॉट 2.0 तकनीक का समर्थन करते हैं। रोलिंग स्टॉक पर सभी नियंत्रकों को स्थापित करने का कार्य संभवत: सबसे अधिक चमकदार था। ऑटो-कॉन्फ़िगरेशन (हमने एक अलग लेख में इसके बारे में लिखा है) का उपयोग करके पहले विकसित और परीक्षण किए गए संदर्भ नियंत्रक कॉन्फ़िगरेशन को सभी रचनाओं पर लागू किया गया था। कई चरणों में आवेदन किया गया। सबसे पहले, मास्को मेट्रो की हरी शाखा पर, स्थानीय प्रभावों और प्रभाव का आकलन करने के लिए, और फिर पूरे नेटवर्क पर। अब दूसरा एसएसआईडी एमटी मास्को मेट्रो के पूरे रोलिंग स्टॉक पर तैनात है।

2. आंतरिक बुनियादी ढांचे के पक्ष में परिशोधन, विशेष रूप से RADIUS सर्वर पर

चूंकि हमारे पास एक पूर्ण विकसित RADIUS सर्वर है, इसलिए हमें EAP और आंतरिक प्रमाणीकरण विधि के लिए समर्थन लागू करना पड़ा।

3. एक क्रेडेंशियल प्रकार और प्रमाणीकरण विधि चुनना

पसंद न केवल नेटवर्क में ग्राहक के लिए विश्वसनीय और पारदर्शी प्रमाणीकरण और प्राधिकरण प्रदान करना चाहिए, बल्कि हमारे वर्तमान और भविष्य के मुद्रीकरण मॉडल की दक्षता भी बनाए रखेगा। मुझे आपको याद दिलाना है कि मुद्रीकरण (विज्ञापन और अतिरिक्त सेवाओं के माध्यम से) हमें मुफ्त में नेटवर्क तक पहुंच प्रदान करने की अनुमति देता है।

क्रेडेंशियल का प्रकार उपयोगकर्ता नाम / पासवर्ड जोड़ी और X.509 प्रमाणपत्र के बीच चुना जाता है। पहली नज़र में, प्रमाण पत्र का उपयोग अधिक विश्वसनीय, आधुनिक और आशाजनक लगता है। उदाहरण के लिए, आप अनुप्रयोगों में प्रमाणीकरण (यहां तक ​​कि हमारे अपने व्यक्तिगत खाते में) के लिए एक ही प्रमाण पत्र के उपयोग को व्यवस्थित कर सकते हैं, और पारदर्शी रूप से। हालांकि, एक बड़े सार्वजनिक नेटवर्क पर उपयोगकर्ता प्रमाणपत्रों के प्रबंधन का मुद्दा (सीमित कॉर्पोरेट नेटवर्क के बजाय जब उपकरणों तक भौतिक पहुंच है) गैर-तुच्छ लगता है, विशेष रूप से निर्माताओं के कार्यान्वयन में अंतर को देखते हुए।

इसलिए, हम उपयोगकर्ता नाम / पासवर्ड जोड़ी चुनते हैं। यह विधि टीटीएलएस है, क्योंकि यह अंतरराष्ट्रीय अंतर-ऑपरेटर वाई-फाई रोमिंग के लिए व्यापक रूप से उपयोग किया जाता है। सर्वर को प्रमाणित करने और नकली एसएसआईडी से जुड़ने की संभावना को बाहर करने के लिए (हम बारीकियों पर हैं, हम उन्हें सुरक्षा पर अनुभाग में विचार करेंगे) हम एक कुंजी और एक प्रमाण पत्र जारी करेंगे, जिसका निजी हिस्सा एएए सर्वर पर रखा जाएगा, और खुले एक को प्रोफ़ाइल में शामिल किया जाएगा। इस प्रकार, कनेक्शन चरण में, प्राधिकरण सर्वर का प्रमाणीकरण होगा।

4. प्रोविडेंस

सबसे कठिन सवाल, जो पूरी तरह से बंद नहीं है। हमें यह सुनिश्चित करने की आवश्यकता है कि मालिक की ओर से न्यूनतम कार्यों के साथ उपयोगकर्ता के उपकरणों में क्रेडेंशियल्स स्थानांतरित किए जाते हैं, और उसके लिए पारदर्शी होना बेहतर है। आईओएस और एंड्रॉइड के मालिकों के लिए समान प्रवाह सुनिश्चित करना आवश्यक है, जहां न केवल ओएस संस्करण के लिए संस्करण, बल्कि विभिन्न निर्माताओं के उपकरणों के लिए, क्रेडेंशियल सेटिंग्स नाटकीय रूप से भिन्न हो सकती हैं। दुर्भाग्य से, अभी तक कोई सार्वभौमिक समाधान नहीं है। हमारे पास एक मोबाइल समाधान के लिए सार्वभौमिक समाधान के रूप में वाई-फाई कनेक्शन की व्यवस्था और प्रबंधन की कार्यक्षमता को स्थानांतरित करने के लिए विचार थे, लेकिन हम दोनों प्लेटफार्मों की सीमाओं में चले गए।

फिलहाल हम अनुसंधान जारी रख रहे हैं, और संभवत: अंतिम संस्करण में प्रोविजनिंग प्रक्रिया या कार्यक्षमता के हिस्से में बदलाव होंगे। हम अभी भी एप्लिकेशन का उपयोग करने के विचार को सबसे होनहार और उपयोगकर्ता के अनुकूल मानते हैं और इस विचार को विकसित करना जारी रखते हैं।

लेकिन आपको कहीं और शुरू करने की आवश्यकता है, और चूंकि सभी iOS उपकरणों पर प्रोविज़निंग प्रक्रिया एकीकृत है, इसलिए हमने Apple गैजेट्स के साथ हॉटस्पॉट 2.0 को लागू करना शुरू किया। हमने एक वेब-सेवा प्रावधान विकसित किया है। हम नए नेटवर्क के खुले परीक्षण में भाग लेने के लिए सभी को आमंत्रित करते हैं, लेख के अंत में विस्तृत निर्देश।

सुरक्षा के बारे में

आईओएस प्रोफाइल का उपयोग करके वाई-फाई नेटवर्क और क्रेडेंशियल्स प्रदान करना एमडीएम (मोबाइल डिवाइस मैनेजमेंट) कार्यक्षमता का एक छोटा सा हिस्सा है। हमलावरों के हाथों में, कार्यक्षमता उपयोगकर्ताओं के लिए नकारात्मक परिणाम पैदा कर सकती है, डिवाइस या इसके प्रबंधन को तीसरे पक्ष द्वारा पूरी तरह से अवरुद्ध करने तक। विशेष रूप से, अनुप्रयोगों की स्थापना / हटाने पर प्रतिबंध प्रोफाइल के माध्यम से जोड़ा जा सकता है, एक हमलावर अनुप्रयोगों की स्थापना को नियंत्रित कर सकता है, अपने प्रॉक्सी के माध्यम से उपयोगकर्ता यातायात को निर्देशित कर सकता है, आदि। इसलिए, एक प्रोफ़ाइल को स्थापित करने की प्रक्रिया को उपयोगकर्ता के ध्यान में वृद्धि की आवश्यकता है - आपको यह सुनिश्चित करने की आवश्यकता है कि प्रोफ़ाइल किसी विश्वसनीय कंपनी द्वारा जारी की गई है।

अब हॉटस्पॉट 2.0 नेटवर्क में काम करने के लिए iOS उपकरणों को प्रोवाइड करने का एकमात्र पारदर्शी तरीका प्रोफाइल सेट करना है। हम प्रोफाइल को स्थापित करने के बारे में कुछ सिफारिशें देना चाहेंगे जो न केवल वाई-फाई सेटिंग्स के संदर्भ में उपयोगी होंगी:

• विश्वसनीय स्रोत से ही प्रोफ़ाइल स्थापित करें। स्रोत की विश्वसनीयता एक वैध डिजिटल हस्ताक्षर द्वारा पुष्टि की जाती है। प्रोफाइल इंस्टॉलेशन विंडो में वैध हस्ताक्षर एक हरे शिलालेख - सत्यापित या सत्यापित द्वारा दर्शाया गया है। आप उस डोमेन पर भी ध्यान दे सकते हैं जिसके लिए प्रमाणपत्र जारी किया गया है। हमारे मामले में, यह हॉटस्पॉट है। wi-fi.ru। भविष्य में, यह wi-fi.ru डोमेन में मनमाना हो सकता है। अमान्य हस्ताक्षर के साथ प्रोफ़ाइल को स्थापित करने की अनुशंसा नहीं की जाती है।

एक वैध और अमान्य प्रोफ़ाइल का उदाहरण

• प्रमाण पत्र स्थापित करने से पहले, आप देखते हैं कि क्या परिवर्तन और सेटिंग की जाएगी। हमारे प्रोफ़ाइल में वाई-फाई नेटवर्क सेटिंग्स और एक RADIUS सर्वर को प्रमाणित करने के लिए एक मध्यवर्ती प्रमाण पत्र है। "अधिक विवरण" टैब में, आप वाई-फाई नेटवर्क सेटिंग्स और इंस्टॉल किए गए प्रमाणपत्रों के बारे में विस्तृत जानकारी देख सकते हैं। यह एक प्रोफ़ाइल सेट करने के लिए अनुशंसित नहीं है जहां "प्रॉक्सी" वाई-फाई नेटवर्क सेटिंग्स में सेट है।

• यह अत्यधिक अनुशंसा की जाती है कि अन्य सेटिंग्स वाले प्रमाणपत्रों को स्थापित न करें, विशेष रूप से SCEP - यह हमलावरों को आपकी भागीदारी के बिना किसी भी प्रोफ़ाइल को स्थापित करके डिवाइस पर पूर्ण नियंत्रण प्राप्त करने की अनुमति देगा।

मोबाइल डिवाइस की कार्यक्षमता की विभिन्न सीमाओं के साथ उदाहरण प्रोफ़ाइल

• एंड्रॉइड डिवाइसों के लिए, मुख्य सिफारिश यह सुनिश्चित करने के लिए है कि सर्वर प्रमाणपत्र का उपयोग वाई-फाई नेटवर्क सेटिंग्स में किया जाता है, अन्यथा नकली एसएसआईडी से कनेक्ट करना संभव होगा। iOS, Android , — / . .

फिलहाल, हॉटस्पॉट 2.0 अभी तक अपनी परिपक्वता तक नहीं पहुंचा है और विकास और गठन के स्तर पर है, लेकिन हम एक ऐसी कंपनी बनना चाहते हैं जो रूस में इस नई तकनीक को बढ़ावा देने और लागू करने के लिए पहला कदम उठाएगी। हमारे लिए, एक लोकप्रिय शहर सेवा के एक ऑपरेटर के रूप में, यह सार्वजनिक वाई-फाई की सुरक्षा बढ़ाने का एक तरीका है। वास्तव में, मास्को मेट्रो में MT_FREE नेटवर्क में हॉटस्पॉट 2.0 को तैनात करके, हम रेडियो स्तर पर एक एन्क्रिप्टेड कनेक्शन के साथ यूरोप में सबसे बड़ा सार्वजनिक वाई-फाई नेटवर्क बना रहे हैं।

हम iOS उपयोगकर्ताओं के लिए मेट्रो नेटवर्क पर हॉटस्पॉट 2.0 तकनीक का खुला परीक्षण शुरू कर रहे हैं। ऐसा करने के लिए, आपको लिंक wi-fi.ru/hotspot पर क्लिक करके प्रोविजनिंग प्रक्रिया से गुजरना होगाऔर प्रोफ़ाइल सेट करना। उसके बाद, जैसे ही आपका डिवाइस MT_FREE कवरेज क्षेत्र (और, परिणामस्वरूप, एमटी) में दिखाई देता है, वाई-फाई नेटवर्क से कनेक्ट करना और सुरक्षित वातावरण तक पहुंचना अपने आप हो जाएगा।

हम एक अलग पाठ में खुले परीक्षण के परिणामों की रिपोर्ट करेंगे। इसलिए, एक बड़ा अनुरोध: सक्रिय रूप से परीक्षण में भाग लेने और नए नेटवर्क के काम पर हॉटस्पॉट @ maximatelecom.ru पर प्रतिक्रिया भेजने के लिए।

प्रोफ़ाइल स्थापना निर्देश

Wi-fi.ru/hotspot प्रोफ़ाइल पीढ़ी सेवा के लिंक को केवल iOS उपकरणों और सफारी ब्राउज़र से खोला जाना चाहिए। यह एक ऑपरेटिंग सिस्टम लिमिटेशन है। हम ऐसे प्रावधान परिदृश्य का उपयोग केवल खुले नेटवर्क परीक्षण के दौरान करते हैं। निकट भविष्य में, हम एप्लिकेशन का उपयोग करके पहले से ही लक्षित विकल्प जारी करने की योजना बनाते हैं।

IOS 11 के संस्करण के लिए फ्लो प्रोफाइल सेटिंग्स समावेशी और 12 अंतरों से शुरू होती हैं। नीचे 11 और संस्करण सहित संस्करणों के लिए





प्रवाह है: संस्करण 12 से iOS के लिए एक प्रोफ़ाइल स्थापित करने के प्रवाह में अंतर:

प्रोफ़ाइल हटाने के निर्देश

30 नवंबर, 2019 तक एक वैधता अवधि के साथ एक प्रोफ़ाइल तैयार की जाती है। इस अवधि के बाद, उपयोगकर्ता द्वारा बिना किसी कार्रवाई के प्रोफ़ाइल को स्वचालित रूप से हटा दिया जाता है। यदि पहले किसी प्रोफ़ाइल को हटाना आवश्यक हो गया है, तो यह मैन्युअल रूप से किया जा सकता है।