Введение
Сегодня гостевой Wi-Fi стал неотъемлемой частью сервиса в кафе, отелях, торговых центрах и офисах. Однако организация такого доступа в России требует выполнения ряда законодательных требований, связанных с защитой персональных данных и обеспечением возможности их идентификации по требованию правоохранительных органов. Для компаний и ИТ-специалистов особенно актуален вопрос, как настроить гостевую сеть Wi-Fi на оборудовании UniFi с соблюдением всех правил.
В этой статье мы подробно рассмотрим:
- Российское законодательство и требования к Wi-Fi
- Технические и организационные меры для соответствия закону
- Пошаговую настройку UniFi с Captive Portal
- Создание и хранение журналов подключений
- Образцы уведомлений и шаблоны для бизнеса в России
- Рекомендации по безопасности и эксплуатации
Особенности законодательной базы России в области гостевого Wi-Fi.
Основные нормативные акты, влияющие на работу Wi-Fi.
- Федеральный закон № 152-ФЗ «О персональных данных» — требует информировать пользователя о сборе его персональных данных и получить согласие на обработку. В контексте Wi-Fi персональными данными считаются MAC-адрес устройства, IP-адрес, дата и время подключения.
- Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — регулирует порядок хранения и защиты информации.
- Федеральный закон № 374-ФЗ (пакет Яровой) — обязывает оператора связи и владельцев Wi-Fi хранить записи о трафике и подключениях не менее 6 месяцев и предоставлять их по запросу правоохранительных органов.
- ГОСТы и рекомендации ФСТЭК России — устанавливают требования к защите информации и организации безопасных сетей.
- Роскомнадзор — контролирует исполнение вышеуказанных законов, привлекая к ответственности при нарушениях.
Требования к владельцам и операторам Wi-Fi
- Предоставлять пользователям понятную информацию об условиях использования Wi-Fi и сборе данных.
- Получать согласие пользователя перед предоставлением услуг (например, через Captive Portal).
- Вести полноценно журнал подключений с указанием MAC, IP, времени и другой информации.
- Обеспечивать сохранность и защиту журналов от несанкционированного доступа.
- Гарантировать возможность передачи журнала по требованию уполномоченных органов.
- Обеспечивать изоляцию гостевого трафика и предотвращать возможность несанкционированного доступа в корпоративную сеть.
Юридическая ответственность
Владельцы гостевого Wi-Fi которые не соблюдают требования, несут юридическую ответственность за отсутствие авторизации пользователей. Это нарушение требований законодательства, регулирующего публичные сети Wi-Fi.
Требования к авторизации в гостевых сетях Wi-Fi в России закреплены в следующих нормативных актах:
ФЗ №97-ФЗ от 5 мая 2014 года. Ввёл обязательную идентификацию пользователей публичных сетей Wi-Fi. Постановление Правительства РФ №758 от 31 июля 2014 года. Ввело обязательную идентификацию пользователей (ФИО) и их оборудования, подключаемого к Wi-Fi-сети (MAC-адрес). Постановление Правительства РФ №801 от 14 августа 2014 года. Ввело изменения в некоторые акты правительства РФ в связи с принятием ФЗ №97-ФЗ.Штрафы
За нарушение требований к авторизации в гостевых сетях Wi-Fi в России предусмотрена административная ответственность по статье 13.30 КоАП РФ. Предоставление пользователю доступа к интернету без его идентификации влечёт наложение штрафа:
на граждан — от 2 тыс. до 5 тыс. рублей; на должностных лиц — от 5 тыс. до 50 тыс. рублей; на юридических лиц — от 100 тыс. до 200 тыс. рублей.Повторное нарушение повлечёт более суровое административное наказание: штраф от 10 тыс. до 100 тыс. рублей для ИП и от 200 тыс. до 300 тыс. рублей для юридических лиц. В некоторых случаях возможна приостановка деятельности.
Обзор технических средств UniFi для обеспечения законного Wi-Fi.
Состав оборудования и программного обеспечения.
- UniFi Controller — централизованное управленческое ПО, доступное как в виде локального сервера, так и в облачном варианте (UniFi Cloud). Управляет точками доступа, маршрутизаторами и настройками сети.
- Точки доступа UniFi — обеспечивают беспроводное покрытие. Для гостевой сети создают отдельный SSID с гостевыми параметрами и VLAN.
- UniFi Security Gateway (USG) / UniFi Dream Machine (UDM, UDM-Pro) — маршрутизаторы с функционалом firewall, NAT, VLAN и Captive Portal.
- RADIUS-сервер — сервер аутентификации, необходим для построения централизованной системы идентификации (опционально), например, FreeRADIUS или Microsoft NPS.
- Syslog-серверы (Graylog, ELK, rsyslog) — прием, хранение и анализ логов. Необходимо обеспечить накопление и резервное копирование журналов.
- Дополнительные системы мониторинга и бэкапа для сохранности данных.
Основные возможности UniFi для легального гостевого Wi-Fi
- Поддержка гостевого SSID с выделением VLAN, позволяющих изолировать сеть гостей.
- Механизм Captive Portal, через который пользователь подтверждает согласие с условиями использования и уведомлением о сборе данных.
- Возможность настройки ограничений по скорости, времени и объему трафика на гостевом SSID.
- Интеграция с RADIUS для аутентификации пользователей.
- Отправка логов подключений на внешний syslog-сервер.
Архитектура защищённой гостевой сети UniFi
1. Клиент подключается к гостевому Wi-Fi (отдельный SSID и VLAN).
2. Точка доступа UniFi перехватывает первый запрос и перенаправляет на Captive Portal на UniFi Controller (или внешний сервер).
3. Пользователь видит уведомление и кнопку согласия. Возможна авторизация через RADIUS.
4. При успешном согласии (аутентификации) клиент получает доступ к сети и Интернету с ограничениями.
5. Все подключения и сессии аутентифицируются и логируются в Controller или RADIUS-сервере.
6. Все логи отправляются на внешний syslog-сервер для хранения и архивирования.
Подготовка оборудования и ПО для законного Wi-Fi на UniFi.
Что понадобится.
- UniFi Network Controller (ранее известен как UniFi Controller) — центральное ПО для управления точками доступа и сетевыми устройствами UniFi: точками доступа, коммутаторами, маршрутизаторами и камерами.
Версия 7.x и выше — актуальная версия контроллера, которая поддерживает работу с устройствами UniFi 7 (например, UniFi 7 Pro). Контроллер может быть установлен на ПК, сервере или мини-ПК (например, Raspberry Pi).
- UniFi Gateway / USG / UDM/UDM-Pro — маршрутизатор с функциями Firewall, NAT, VLAN и Captive Portal.
- Точки доступа UniFi — для радиосвязи с клиентом. Гостевой SSID — отдельная виртуальная сеть (SSID).
- RADIUS-сервер (опционально) — для централизованной проверки пользователей, если нужна авторизация (Win Server с NPS или FreeRADIUS).
- Syslog-сервер (Graylog, ELK, rsyslog, Graylog) — для сбора и хранения журналов.
- Система резервного копирования логов.
Подробная инструкция по настройке UniFi с учетом закона РФ.
Шаг 1 Создание гостевого SSID с изоляцией
- Откройте UniFi Controller → Settings → Wi-Fi → Create New Wi-Fi Network.
- Введите имя сети, например, Cafe_Guest.
- Включите Guest Policy — изоляция устройств между собой и от основной сети.
- Активируйте VLAN (например, VLAN 100) для гостевого сегмента, чтобы разделить трафик.
- Выберите тип безопасности «Open» (открытый) с Captive Portal.
- Установите лимиты (скорость, время), чтобы избежать злоупотреблений.
Шаг 2 Настройка Captive Portal с юридическим уведомлением
- В UniFi Controller → Settings → Guest Control включите Guest Portal.
- Отметьте пункт «Enable Guest Portal».
- Выберите тип портала — «Simple Password» или «External Portal Server». Лучше использовать встроенный или собственный сервер с возможностью адаптации текста.
- В поле уведомления вставьте утвержденный текст согласия на обработку персональных данных (пример ниже).
- Отложите кнопку согласия, которая будет активным действием пользователя, подтверждающим согласие.
Шаг 3 Настройка RADIUS-сервера для аутентификации (опционально)
- Если необходима идентификация по логину/паролю или SMS, настройте FreeRADIUS или Microsoft NPS.
- В Controller → Profiles → RADIUS добавьте сервер и укажите параметры аутентификации.
- Привяжите RADIUS к гостевому SSID.
- Все попытки подключения будут проверяться на RADIUS, логи сохраним в сервере.
Шаг 4 Организация сбора логов подключений
- Настройте UniFi Controller на отправку логов в syslog-сервер: Controller → Site → Logging → Введите IP и порт syslog-сервера (UDP 514).
- Запустите syslog-сервер (Graylog, ELK и др.) с возможностью индексации и поиска по MAC, IP, времени.
- Настройте резервное копирование логов на внешние носители.
- Убедитесь, что хранение логов осуществляется не менее 6 месяцев. Это может потребовать расширенного объёма дискового пространства и политики безопасности.
Шаг 5 Разграничение прав и безопасность
- Настройте firewall в UniFi Security Gateway для изоляции гостевых VLAN от внутренней сети.
- Заблокируйте попытки доступа гостей к административным и внутренним сервисам.
- Ограничьте входящий трафик по IP-адресам, если это необходимо, например параллельно разместив VPN доступ для сотрудников.
- Внедрите двухфакторную аутентификацию для администраторов UniFi Controller.
Подробный пример текста уведомления о сборе данных.
Добро пожаловать в бесплатную сеть Wi-Fi Café!
Используя данную сеть, вы соглашаетесь на обработку ваших персональных данных в соответствии с законом №152-ФЗ «О персональных данных».
В рамках работы сети мы собираем следующие данные: MAC-адрес вашего устройства, IP-адрес, дата и время подключения, а также объем передаваемого трафика.
Эти данные используются исключительно для обеспечения безопасности и исполнения требований законодательства РФ.
Журнал подключений хранится в течение шести месяцев и может быть предоставлен уполномоченным органам по законному запросу.
Ваше согласие необходимо для использования сети. Нажимая кнопку «Подтвердить», вы даёте согласие на обработку персональных данных.
Если вы не согласны с условиями, пожалуйста, не подключайтесь к сети.
Практические советы и особенности эксплуатации. Организация процессов и обучение персонала.
- Обязательно проведите инструктаж для сотрудников, ответственных за Wi-Fi.
- Назначьте лицо, ответственное за хранение и выдачу логов (например, ИТ-специалист или администратор).
- Регулярно проверяйте актуальность контактных данных для передаче логов по запросу.
- Ведите журнал выдачи логов с указанием кому, когда и зачем они были переданы.
Технические меры защиты данных и инфраструктуры
- Используйте шифрование в работе с UniFi Controller (https).
- Ограничьте доступ к контроллеру только через безопасные каналы и VPN.
- Настройте систему бэкапов для контроллера, RADIUS и syslog.
- Периодически анализируйте логи на предмет подозрительной активности (массовые подключения, сканирование и др.).
Контроль и актуализация настроек
- Проводите регулярные аудиты конфигурации UniFi Controller и сетевого оборудования.
- Следите за обновлениями ПО и своевременно их устанавливайте.
- Поддерживайте резервные конфигурации системы для быстрого восстановления.
Примерный шаблон журнала подключений Wi-Fi (для передачи правоохранительным органам)
№, MAC-адрес устройства, IP-адрес устройства, Дата и время подключения, Дата и время отключения, Использованный трафик, Дополнительная информация
1,5C:26:0A:79:44:AB,192.168.100.55,01.05.2024 09:20,01.05.2024 11:10,500 МБ,"Гость, согласие подтверждено"
2,54:E1:AD:2D:8A:F1,192.168.100.56,01.05.2024 10:05,01.05.2024 10:50,120 МБ,
Часто задаваемые вопросы
Какой самый простой способ получить юридически верное согласие пользователей?
Использовать captive portal с текстом уведомления и кнопкой «Согласен» или «Подтвердить».
Нужно ли отдельно регистрировать Wi-Fi у оператора связи?
Если вы не предоставляете услуги связи массово, дополнительной регистрации не требуется, но нужно выполнять требования по обработке данных и учету.
Как лучше хранить логи, чтобы избежать их порчи и потери?
Рекомендуется использовать отдельный syslog-сервер с резервным копированием и защитой доступов.
Можно ли полностью отказаться от логов?
Нет, хранение логов — прямая обязанность согласно закону Яровой.
Выводы
Законный Wi-Fi на UniFi — реализуемая задача, но требует комплексного подхода с учетом:
- Условий законодательства РФ по хранению и обработке персональных данных
- Корректной технической настройки UniFi гостевого SSID, Captive Portal и логирования
- Организационных мер по хранению логов и взаимодействию с контролирующими органами
Это комплекс модернизации инфраструктуры и процедур, с акцентом на безопасность и прозрачность. При правильной настройке и сопровождении гостевой Wi-Fi станет удобным сервисом для клиентов и защищённой системой для бизнеса.
