Identificação de assinantes em redes Wi-Fi por número de telefone

Quem é responsável pela identificação

Existem 3 métodos principais para organizar a identificação:

1. Instalação de equipamento especial (roteador ou servidor proxy) na rede Wi-Fi do estabelecimento. Esse método é usado com mais frequência por proprietários de hotéis, onde a identificação do hóspede na rede é feita pelo número do quarto, ao qual estão vinculados os dados do passaporte.
2. Uso de uma solução pronta de uma empresa intermediária que fornece equipamentos e serviços de identificação por número de telefone. Esse método pode ser usado por proprietários de pequenos cafés e restaurantes, mas apresenta limitações de escalabilidade e requer a assinatura de um contrato separado e o pagamento de uma taxa mensal pelo serviço.
3. Prestação do serviço de identificação pelo operador de telecomunicações com quem o contrato de acesso à internet foi celebrado. É a opção mais universal e acessível, pois não requer custos adicionais com equipamentos, pode ser cobrada no contrato principal de acesso à internet e não tem limites para o número de assinantes do Wi-Fi gratuito.

Identificação por número de telefone

This method of identification is the most widespread.

A sequência de ações do usuário para acessar a rede Wi-Fi gratuita é a seguinte:

1. O assinante conecta-se à rede Wi-Fi do estabelecimento.
2. Aparece uma página de boas-vindas do estabelecimento informando que o assinante deve abrir um navegador e se identificar (em alguns dispositivos, como o iPhone, a identificação diretamente pela página de boas-vindas não salva os cookies).
3. No navegador, ao tentar acessar qualquer URL, o assinante é redirecionado para a página de identificação.
4. O assinante insere o número de telefone e solicita um código de acesso.
5. O código de acesso é enviado para o número de telefone informado por SMS.
6. O assinante insere o código de acesso recebido na página de identificação.
7. Um cookie de sessão é gravado no dispositivo do assinante e armazenado por 24 horas (isso é necessário para permitir o reacesso à rede sem nova identificação), e o assinante é redirecionado para a URL solicitada originalmente.

O proprietário do estabelecimento só precisa instalar e configurar o equipamento Wi-Fi, conectá-lo à linha do operador de telecomunicações e pagar o plano tarifário escolhido. O processo de identificação do usuário ocorre no equipamento do operador de telecomunicações. Vamos analisar como isso funciona usando como exemplo o sistema Stingray da empresa VAS Experts.

Esquema de identificação pelo operador via número de telefone

Além do equipamento padrão para fornecer acesso à internet aos assinantes (switches, roteadores, roteador de borda, pontos de acesso Wi-Fi), o operador deve ter:

• O sistema Stingray;
• Um servidor DHCP para atribuição centralizada de endereços IP aos assinantes (na mesma rede que o DPI), com capacidade de executar um script shell ao atribuir um novo endereço IP;
• Uma máquina virtual com servidor web Apache instalado (httpd) e módulo de visualização de estatísticas e relatórios (nfsen);
• Acesso a um serviço de envio de SMS;
• NAT para reduzir o número de endereços IPv4 utilizados, com registro das traduções IP↔IP e PORT (opcional);
• Radius para autenticação na rede por identificador do assinante (opcional).

A sequência de operações nesse esquema:

1. Um dispositivo do assinante (smartphone, tablet ou notebook) conecta-se ao roteador Wi-Fi do estabelecimento (a rede gratuita);
2. O roteador Wi-Fi solicita um novo endereço IP ao servidor DHCP do operador de telecomunicações;
3. Ao atribuir um novo IP, o servidor DHCP chama um script shell e envia os dados ao roteador Wi-Fi;
4. O script shell ativa o serviço de lista branca e uma tarifa com restrições de acesso no DPI Stingray para o IP atribuído;
5. O servidor web recebe uma solicitação para a página de boas-vindas; o assinante ativa o navegador e acessa qualquer URL;
6. O servidor web recebe uma solicitação para a página de identificação (e verifica o cookie); o assinante insere o número de telefone e clica em “obter código de acesso”;
7. O servidor web recebe a solicitação do código de acesso, gera um número aleatório e o envia ao telefone do assinante por meio do serviço externo; o assinante insere o código no formulário e clica em “confirmar”;
8. O servidor web recebe a solicitação de confirmação do código de acesso; se o código estiver correto, chama um script shell para remover o serviço de lista branca e definir a tarifa de acesso Wi-Fi, define um cookie no navegador e redireciona para a URL solicitada originalmente.

Configuração do equipamento

Para implementar o esquema, é necessário configurar o equipamento do operador: o sistema DPI, o servidor DHCP e o servidor web.

Configuração do sistema DPI

1. Utiliza-se o arquivo de descrição de classes de protocolos txt:

   http    cs0
   https    cs0
   dns    cs0
   default    cs1

2. Converte-se e copia-se do arquivo-fonte para o servidor DPI:

   cat protocols.txt|lst2dscp /etc/dpi/protocols.dscp
   htdocs/wifi/.script para /home/fastdpi/

3. Cria-se o arquivo de tarifa default_policing.cfg para acesso à internet via Wi-Fi a 10 Mbit:

   htb_inbound_root=rate 10mbit
   htb_inbound_class0=rate 1mbit ceil 10mbit
   htb_inbound_class1=rate 1mbit ceil 10mbit
   htb_inbound_class2=rate 8bit ceil 10mbit
   htb_inbound_class3=rate 8bit ceil 10mbit
   htb_inbound_class4=rate 8bit ceil 10mbit
   htb_inbound_class5=rate 8bit ceil 10mbit
   htb_inbound_class6=rate 8bit ceil 10mbit
   htb_inbound_class7=rate 8bit ceil 10mbit
   htb_root=rate 10mbit
   htb_class0=rate 1mbit ceil 10mbit
   htb_class1=rate 1mbit ceil 10mbit
   htb_class2=rate 8bit ceil 10mbit
   htb_class3=rate 8bit ceil 10mbit
   htb_class4=rate 8bit ceil 10mbit
   htb_class5=rate 8bit ceil 10mbit
   htb_class6=rate 8bit ceil 10mbit
   htb_class7=rate 8bit ceil 10mbit

4. Cria-se o arquivo de tarifa captive_portal_hard.cfg para bloquear o acesso à internet em conjunto com a lista branca:

   htb_inbound_root=rate 256kbit
   htb_inbound_class0=rate 8bit ceil 256kbit
   htb_inbound_class1=rate 8bit ceil 8bit
   htb_inbound_class2=rate 8bit ceil 8bit
   htb_inbound_class3=rate 8bit ceil 8bit
   htb_inbound_class4=rate 8bit ceil 8bit
   htb_inbound_class5=rate 8bit ceil 8bit
   htb_inbound_class6=rate 8bit ceil 8bit
   htb_inbound_class7=rate 8bit ceil 8bit
   htb_root=rate 256kbit
   htb_class0=rate 8bit ceil 256kbit
   htb_class1=rate 8bit ceil 8bit
   htb_class2=rate 8bit ceil 8bit
   htb_class3=rate 8bit ceil 8bit
   htb_class4=rate 8bit ceil 8bit
   htb_class5=rate 8bit ceil 8bit
   htb_class6=rate 8bit ceil 8bit
   htb_class7=rate 8bit ceil 8bit

5. Configura-se o serviço de lista branca:

   cp_server=yoursite.com/welcome.php

Configuração do servidor DHCP

1. Configura-se a execução remota de comandos via SSH.
2. Define-se um gatilho para a atribuição de um novo IP:

   ssh dpi_user@dpi_host «/home/fastdpi/_add_captive_portal.sh »

Configuração do servidor web

1. Configura-se a execução remota de comandos via SSH.
2. Configura-se o Apache; o exemplo está no diretório conf/ do arquivo:
   • Em conf.d/php.ini, transferir/adicionar as configurações do exemplo conf/php.ini
   • Ativar o arquivo conf
   • Definir DocumentRoot como /var/www/html/htdocs/wifi/
3. Copiar htdocs/ para /var/www/html
4. Editar /var/www/html/htdocs/wifi/.script/remove_captive_portal.sh
5. Editar /var/www/html/htdocs/wifi/request.php, informando o USUÁRIO e a SENHA de acesso ao serviço de envio de SMS

A implementação da identificação de usuários com esse esquema permite resolver várias tarefas simultaneamente:

• Oferecer aos visitantes acesso gratuito à internet, aumentando assim sua fidelidade e satisfação;
• Cumprir os requisitos do Decreto e evitar multas;
• Exibir publicidade e informações sobre as promoções de marketing do estabelecimento na página de autorização;
• Manter estatísticas sobre os visitantes para análise posterior com o objetivo de melhorar a qualidade dos serviços prestados.

Para obter informações mais detalhadas sobre a função de identificação de usuários do sistema DPI Stingray e suas outras funcionalidades, entre em contato com os especialistas da VAS Experts.