Blog
Télécom
Identification des abonnés dans les réseaux Wi-Fi par numéro de téléphone

Identification des abonnés dans les réseaux Wi-Fi par numéro de téléphone

December 23, 2016

Le Wi-Fi gratuit pour les visiteurs des cafés, restaurants, centres commerciaux et de nombreux autres lieux publics est désormais devenu une norme incontournable d'un bon service. Il y a encore quelques années, pour accéder à internet depuis une tablette ou un téléphone, il fallait utiliser les données mobiles, mais aujourd'hui le Wi-Fi gratuit est disponible presque partout : dans les transports en commun, dans les parcs, dans les cafés et dans les centres commerciaux. Cependant, de plus en plus de réseaux Wi-Fi exigent une autorisation avant la connexion — à quoi sert-elle et comment est-elle mise en œuvre ?

Qui est responsable de l’identification

Il existe 3 méthodes principales pour organiser l’identification :

Installation d’un équipement spécial (routeur ou serveur proxy) dans le réseau Wi-Fi de l’établissement. Cette méthode est le plus souvent utilisée par les propriétaires d’hôtels, où l’identification de l’hôte sur le réseau s’effectue à l’aide du numéro de chambre, auquel sont liées ses données de passeport.
Utilisation d’une solution clé en main d’une société intermédiaire qui fournit l’équipement et le service d’identification par numéro de téléphone. Cette méthode peut être utilisée par les propriétaires de petits cafés et restaurants, mais elle présente des limites en matière d’évolutivité et nécessite la conclusion d’un contrat distinct ainsi que le paiement d’une redevance mensuelle pour le service.
Fourniture du service d’identification par l’opérateur de télécommunications avec lequel le contrat d’accès à internet est conclu. Il s’agit de l’option la plus universelle et la plus accessible, car elle ne nécessite aucun coût supplémentaire en équipement, peut être facturée dans le cadre du contrat principal d’accès à internet et ne comporte aucune limite quant au nombre d’abonnés au Wi-Fi gratuit.

Identification par numéro de téléphone

Cette méthode d’identification est la plus répandue.

La séquence d’actions de l’utilisateur pour accéder au réseau Wi-Fi gratuit est la suivante :

L’abonné se connecte au réseau Wi-Fi de l’établissement.
Une page d’accueil de l’établissement s’affiche avec l’information que l’abonné doit ouvrir un navigateur et s’identifier (sur certains appareils, comme l’iPhone, l’identification directement depuis la page d’accueil ne conserve pas les cookies).
Dans le navigateur, lors de la navigation vers n’importe quelle URL, l’abonné est redirigé vers la page d’identification.
L’abonné saisit son numéro de téléphone et demande un code d’accès.
Le code d’accès est envoyé au numéro de téléphone saisi par SMS.
L’abonné saisit le code d’accès reçu sur la page d’identification.
Un cookie de session est enregistré sur l’appareil de l’abonné et conservé pendant 24 heures (cela est nécessaire pour permettre un accès ultérieur au réseau sans nouvelle identification), puis l’abonné est redirigé vers l’URL initialement demandée.

The establishment owner only needs to install and configure the Wi-Fi equipment, connect it to the telecom operator’s line, and pay for the chosen pricing plan. The user identification process takes place on the telecom operator’s equipment. Let’s walk through how this works using the Stingray system from VAS Experts as an example.

Schéma d’identification par l’opérateur via le numéro de téléphone

Le propriétaire de l’établissement n’a qu’à installer et configurer l’équipement Wi-Fi, le connecter à la ligne de l’opérateur de télécommunications et payer le forfait tarifaire choisi. Le processus d’identification de l’utilisateur se déroule sur l’équipement de l’opérateur de télécommunications. Voyons comment cela fonctionne en prenant comme exemple le système Stingray de la société VAS Experts.

Le système Stingray;
Un serveur DHCP pour l’attribution centralisée des adresses IP aux abonnés (sur le même réseau que le DPI), capable d’appeler un script shell lors de l’attribution d’une nouvelle adresse IP ;
Une machine virtuelle avec un serveur web Apache installé (httpd) et un module de consultation des statistiques et des rapports (nfsen) ;
Un accès à un service d’envoi de SMS ;
Un NAT pour réduire le nombre d’adresses IPv4 utilisées, avec un journal des traductions IP↔IP et PORT (optionnel) ;
Un serveur Radius pour l’authentification sur le réseau par identifiant d’abonné (optionnel).

La séquence d’opérations dans ce schéma :

Un appareil d’abonné (smartphone, tablette ou ordinateur portable) se connecte au routeur Wi-Fi de l’établissement (le réseau gratuit) ;
Le routeur Wi-Fi demande une nouvelle adresse IP au serveur DHCP de l’opérateur de télécommunications ;
Lors de l’attribution d’une nouvelle IP, le serveur DHCP appelle un script shell et transmet les données au routeur Wi-Fi ;
Le script shell active le service de liste blanche et un tarif avec restrictions d’accès sur le DPI Stingray pour l’IP attribuée ;
Le serveur web reçoit une demande pour la page d’accueil ; l’abonné active le navigateur et accède à n’importe quelle URL ;
Le serveur web reçoit une demande pour la page d’identification (et vérifie le cookie) ; l’abonné saisit son numéro de téléphone et clique sur « obtenir le code d’accès » ;
Le serveur web reçoit la demande de code d’accès, génère un nombre aléatoire et l’envoie sur le téléphone de l’abonné via le service externe ; l’abonné saisit le code dans le formulaire et clique sur « confirmer » ;
Le serveur web reçoit la demande de confirmation du code d’accès ; si le code est correct, il appelle un script shell pour supprimer le service de liste blanche et définir le tarif d’accès Wi-Fi, définit un cookie dans le navigateur et redirige vers l’URL initialement demandée.

Configuration de l’équipement

Pour mettre en œuvre le schéma, il est nécessaire de configurer l’équipement de l’opérateur : le système DPI, le serveur DHCP et le serveur web.

Configuration du système DPI

Utilisation du fichier de description des classes de protocoles txt :
```
http    cs0
https    cs0
dns    cs0
default    cs1
```

Conversion et copie depuis l’archive source vers le serveur DPI :

cat protocols.txt|lst2dscp /etc/dpi/protocols.dscp
htdocs/wifi/.script vers /home/fastdpi/

Création du fichier de tarif default_policing.cfg pour l’accès à internet via Wi-Fi à 10 Mbit :

htb_inbound_root=rate 10mbit
htb_inbound_class0=rate 1mbit ceil 10mbit
htb_inbound_class1=rate 1mbit ceil 10mbit
htb_inbound_class2=rate 8bit ceil 10mbit
htb_inbound_class3=rate 8bit ceil 10mbit
htb_inbound_class4=rate 8bit ceil 10mbit
htb_inbound_class5=rate 8bit ceil 10mbit
htb_inbound_class6=rate 8bit ceil 10mbit
htb_inbound_class7=rate 8bit ceil 10mbit
htb_root=rate 10mbit
htb_class0=rate 1mbit ceil 10mbit
htb_class1=rate 1mbit ceil 10mbit
htb_class2=rate 8bit ceil 10mbit
htb_class3=rate 8bit ceil 10mbit
htb_class4=rate 8bit ceil 10mbit
htb_class5=rate 8bit ceil 10mbit
htb_class6=rate 8bit ceil 10mbit
htb_class7=rate 8bit ceil 10mbit

Création du fichier de tarif captive_portal_hard.cfg pour bloquer l’accès à internet conjointement avec la liste blanche :

htb_inbound_root=rate 256kbit
htb_inbound_class0=rate 8bit ceil 256kbit
htb_inbound_class1=rate 8bit ceil 8bit
htb_inbound_class2=rate 8bit ceil 8bit
htb_inbound_class3=rate 8bit ceil 8bit
htb_inbound_class4=rate 8bit ceil 8bit
htb_inbound_class5=rate 8bit ceil 8bit
htb_inbound_class6=rate 8bit ceil 8bit
htb_inbound_class7=rate 8bit ceil 8bit
htb_root=rate 256kbit
htb_class0=rate 8bit ceil 256kbit
htb_class1=rate 8bit ceil 8bit
htb_class2=rate 8bit ceil 8bit
htb_class3=rate 8bit ceil 8bit
htb_class4=rate 8bit ceil 8bit
htb_class5=rate 8bit ceil 8bit
htb_class6=rate 8bit ceil 8bit
htb_class7=rate 8bit ceil 8bit

Configuration du service de liste blanche :
```
cp_server=yoursite.com/welcome.php
```

Configuration du serveur web

Configuration de l’exécution de commandes à distance via SSH.
Configuration d’Apache, exemple dans le répertoire conf/ de l’archive :
- Dans conf.d/php.ini, déplacer/ajouter les paramètres de l’exemple conf/php.ini
- Activer le fichier conf
- Définir DocumentRoot sur /var/www/html/htdocs/wifi/
Copier htdocs/ dans /var/www/html
Modifier /var/www/html/htdocs/wifi/.script/remove_captive_portal.sh
Modifier /var/www/html/htdocs/wifi/request.php en indiquant le NOM D’UTILISATEUR et le MOT DE PASSE d’accès au service d’envoi de SMS

La mise en œuvre de l’identification des utilisateurs avec ce schéma permet de résoudre plusieurs problèmes simultanément :

Fournir aux visiteurs un accès gratuit à internet, augmentant ainsi leur fidélité et leur satisfaction ;
Se conformer aux exigences du Décret et éviter les amendes ;
Afficher des publicités et des informations sur les promotions marketing de l’établissement sur la page d’autorisation ;
Tenir des statistiques sur les visiteurs pour une analyse ultérieure visant à améliorer la qualité des services fournis.

Pour obtenir des informations plus détaillées sur la fonction d’identification des utilisateurs du système DPI Stingray et ses autres fonctionnalités, vous pouvez contacter les spécialistes de VAS Experts.

Vote:

5 sur 5

Note moyenne : 5

Évalué par: 1