Tutti i router WiFi in commercio, anche quelli più economici, consentono di allestire un hotspot wireless.
I titolari di un esercizio commerciale, come può essere un hotel, un ristorante, un bar, un centro sportivo, un negozio di qualunque genere, possono – almeno in linea generale – consegnare ai clienti la stessa password utilizzata a protezione della propria rete WiFi.
Ma perché è altamente sconsigliato comportarsi in questo modo?
È vero che per creare un hotspot WiFi per ospiti e clienti basta un qualunque router ma ci si è mai chiesti a quali problemi si può andare incontro condividendo la stessa password usata per accedere alla rete Internet o, peggio ancora, lasciando la connessione wireless completamente aperta?
Hotspot WiFi: perché è sbagliato comunicare ai clienti la stessa password che si usa per connettersi alla propria rete wireless
Il router, di norma, è configurato per non isolare i client che vi si connettono, o tramite cavo ethernet oppure via WiFi.
Ciò significa che chiunque si collega al router ha la possibilità di “scandagliare” la rete locale alla ricerca dei sistemi connessi.
È possibile ad esempio utilizzare l’icona Rete di Windows, programmi appositi (che offrono una serie di informazioni in più) o, ad esempio, l’app Fing da un qualunque dispositivo Android (Chi è connesso alla rete WiFi o al router?).
Un utente terzo può quindi collegarsi all’hotspot WiFi e fare il curioso sugli altri sistemi connessi alla rete locale andando ad esempio alla ricerca di cartelle condivise sprovviste di password oppure esaminando il contenuto delle cartelle pubbliche.
Ecco perché negli articoli Usare WiFi aperte è sicuro? Come proteggersi e Collegarsi ad una rete Wi-Fi pubblica o non protetta: come proteggere i propri dati abbiamo spiegato quali misure di sicurezza attivare quando si usano reti WiFi pubbliche o, peggio, aperte.
Se si prevede la connessione alla propria WiFi di utenti ospiti, è sempre bene attrezzarsi con un router che permetta anche di allestire un hotspot per le connessioni “guest”.
Come abbiamo spiegato nell’articolo Router WiFi potente, come sceglierlo: guida all’acquisto, vi sono sul mercato molti router WiFi che consentono di attivare un hotspot WiFi per gli ospiti.
Così facendo, la password principale non dovrà mai essere comunicata ad utenti terzi e questi ultimi potranno comunque connettersi ad Internet senza alcun margine di manovra sulla rete locale (non avranno visibilità alcuna sui sistemi clienti collegati in LAN).
I router di AVM, ad esempio, offrono questa possibilità (Scegliere modem e router WiFi, la proposta Fritz! di AVM) ma esistono decine di altri device, in commercio, che offrono un’analoga funzionalità.
La possibilità di creare un hotspot per gli ospiti, completamente isolato dalla rete locale, non risolvere però un problema di fondo, quello relativo all’autenticazione degli utenti che si collegano alla WiFi.
Spieghiamo perché è bene far sì che utenti terzi si autentichino sulla propria rete WiFi.
È obbligatorio che gli utenti si autentichino sull’hotspot WiFi
Il Decreto-legge 29 dicembre 2010, n. 225 (“decreto Milleproroghe”) stabilisce la decadenza di alcuni obblighi imposti dal vecchio decreto Pisanu, che era ormai divenuto un vero e proprio ostacolo per la diffusione del “WiFi libero” in Italia.
Diversamente rispetto a quanto prescritto in precedenza nel decreto Pisanu, se non si è operatori del settore delle telecomunicazioni, si ha titolo per creare hotspot WiFi senza richiedere alcuna autorizzazione.
Il titolare di un esercizio commerciale (a patto che non sia un operatore attivo nel settore delle telecomunicazioni) può attivare un hotspot e condividere la connessione con i suoi ospiti e clienti.
Inoltre, l’autenticazione degli utenti che si collegano all’hotspot WiFi non è più obbligatoria.
C’è però un problema di fondo: se un utente terzo, collegato all’hotspot WiFi, dovesse compiere un qualche tipo di reato online, il primo chiamato a risponderne è sempre il titolare dell’utenza e, di conseguenza, il titolare dell’hotspot.
In tale eventualità, il titolare dell’abbonamento Internet dovrebbe dichiarare di essere estraneo al reato commesso e dimostrare che qualcun altro ha utilizzato la sua connessione, cosa che – senza alcuna pezza d’appoggio – potrebbe dimostrarsi complicato.
Come minimo, quindi, il titolare dell’attività commerciale potrebbe essere accusato di condotta negligente.
Il suggerimento per chi gestisce un’attività e vuol condividere l’accesso ad Internet con gli ospiti ed i clienti è comunque quello di attivare l’autenticazione e, quindi, il controllo degli accessi sull’hotspot WiFi.
Hotspot WiFi con captive portal
La soluzione migliore consiste nell’allestire una pagina che funga da captive portal: ogni volta che un nuovo utente si collegherà all’hotspot WiFi, questi dovrà in qualche modo autenticarsi indicando un indirizzo email od un numero telefonico.
Via email o via SMS, riceverà le istruzioni ed un codice per attivarsi ed iniziare subito ad usare la connessione WiFi.
Memorizzando queste informazioni, in caso di eventuali contestazioni, si potrà dimostrare che la connessione è stata effettuata da parte di terzi e scaricare ogni responsabilità sull’utente che avesse commesso l’illecito.
Saranno poi le forze di polizia a verificare a chi corrispondeva un certo indirizzo email od una numerazione telefonica mobile.
C’è poi uno strumento ancora più intelligente: l’autenticazione via Facebook, Twitter o Google: all’atto della prima connessione sull’hotspot WiFi, l’utente dovrà effettuare il login usando l’account attivato su uno dei social network indicati.
Non solo. Richiedendo l’apposizione di un “Mi piace” o la pubblicazione di un post che faccia riferimento alla propria attività, si potrà ottenere pubblicità gratuita offrendo in campo l’utilizzo gratuito della connessione WiFi.
Creare hotspot WiFi professionale: la soluzione gratuita Zeroshell e Zerotruth
Se si avesse a disposizione una vecchia macchina, equipaggiandola con almeno due schede di rete si potrà configurare un hotspot WiFi professionale installando la distribuzione Linux Zeroshell ed il software aggiuntivo Zerotruth, progetto interamente di concezione italiana.
Grazie a Zerotruth, sarà possibile creare un hotspot WiFi con captive portal con la possibilità di abilitare anche l’autenticazione via SMS o Facebook.
Negli articoli Creare un hotspot WiFi con DD-WRT o Zerotruth e Come creare hotspot WiFi per fornire accesso Internet ai propri clienti abbiamo illustrato la procedura che è possibile seguire per configurare il duo Zeroshell-Zerotruth.
A configurazione ultimata, il gestore dell’attività potranno ad esempio continuare a collegarsi via WiFi direttamente al router mentre i clienti utilizzeranno l’SSID con cui si presenta la scheda wireless installata sulla macchina di Zeroshell-Zerotruth.
Provando ad accedere ad un qualunque sito web via WiFi, si passerà attraverso il captive portal con cui il titolare dell’attività commerciale potrà controllare gli accessi e autenticare gli utenti.
Creare un hotspot WiFi in pochi minuti con Tanaza
Chi non avesse il tempo materiale o le competenze tecniche per creare un hotspot WiFi con l’accoppiata Zeroshell più Zerotruth, può guardare con fiducia a Tanaza.
Si tratta di un progetto italiano ideato e gestito dall’omonima società milanese: Tanaza riduce al minimo i passaggi necessari per creare un hotspot WiFi utilizzando un intelligente approccio cloud.
L’idea è senza dubbio vincente: Tanaza si presenta infatti come un firmware personalizzato per il router WiFi. Installandolo, è possibile trasformare un router qualsiasi, anche quelli da pochi euro, in un router coi superpoteri, come evidenziano gli stessi portavoce dell’azienda.
Dopo aver sostituito il firmware originale del router con quello di Tanaza, basterà collegare il router alla rete Internet quindi attivare un account personale online e limitarsi a digitare il MAC address (o indirizzo MAC) del dispositivo.
L’indirizzo MAC del router, che lo identifica univocamente, può essere annotato prima dell’installazione del firmware Tanaza oppure letto sull’etichetta adesiva applicata sotto il device (per maggiori informazioni, suggeriamo la lettura dell’articolo Indirizzo MAC (Wi-Fi e Ethernet): cos’è e come trovarlo).
Accertandosi di aver collegato la porta WAN del router, mediante cavo ethernet, ad un altro dispositivo che negozia la connessione Internet (che abbia insomma il modem integrato), il device dovrebbe risultare immediatamente visibile ai server di Tanaza.
Inserendo infatti il MAC address del device nella propria area privata (sul cloud di Tanaza), si potrà immediatamente configurare il dispositivo.
Non appena il router verrà rilevato, Tanaza confermerà che il router è pronto per essere configurato ed utilizzato.
La scheda Configure offre la possibilità di modificare eventualmente il nome assegnato all’access point e lo standard WiFi usato (ad esempio 802.11b/g/n), canale, potenza di trasmissione e così via.
La scheda TCP/IP dà modo di assegnare ad esempio un IP privato statico al router Tanaza. In questo modo, ogniqualvolta il router verrà acceso, non si dovrà aspettare la ricezione di un IP locale via DHCP.
Essenziale è poi l’utilizzo della scheda SSID che offre la possibilità di creare fino a otto diversi identificativi di rete sullo stesso router WiFi (funzionalità di solito mai offerta sui router commerciali).
Ad un SSID ed alla corrispondente WiFi, è possibile associare un captive portal quindi attivare l’autenticazione via email, SMS, telefono, Facebook, Twitter, Google od altro social network.
Selezionando Splash page with editor è possibile attivare per poi configurare una pagina che sarà mostrata a tutti coloro che proveranno ad usare la WiFi senza autenticazione.
I client che si collegano alla WiFi Tanaza, poi, possono essere isolati attivando l'”interruttore” Isolate clients.
La scheda Splash page consente di impostare una pagina che è di fatto un captive portal. Cliccando sul link Open in editor, è possibile accedere ad un editor WYSIWYG utilizzando il quale si può allestire, in pochi semplici passaggi, la splash page.
Per attivare l’autenticazione via Facebook è indispensabile cliccare sul pulsante “+” sulla sinistra quindi spostare nella pagina l’elemento Login button.
Con un clic in corrispondenza del menu method sulla destra si può attivare il login via Facebook od attraverso altri social.
Il comportamento di tale meccanismo deve però essere configurato in maniera puntuale facendo riferimento al pulsante Settings in alto cliccando poi su Authentication, Facebook.
Attivando l’apposito interruttore si può richiedere che l’utente, per avere accesso alla connessione WiFi, debba esprimere un “Mi piace” sulla pagina Facebook dell’attività e/o condividere un post sulla bacheca.
Tanaza offre un ottimo pannello riassuntivo (Dashboard) che dà modo di studiare gli accessi degli utenti alla WiFi raccogliendo interessanti dati su coloro che usano la connessione. Agli utenti possono essere anche mostrate immagini pubblicitarie e video promozionali ed è anche molto semplice attivare sistemi di couponing o di pagamento nel caso in cui si volesse concedere l’accesso alla connessione WiFi dietro il versamento di un piccolo importo.
Tanaza ci ha inviato come prodotto dimostrativo un semplice ed economico router di TP-Link (il TL-WR842ND che su Amazon è venduto a meno di 35 euro).
Si tratta della prova provata di come un router senza particolari ambizioni, grazie al firmware di Tanaza si trasformi in un dispositivo intelligente capace di gestire un hotspot WiFi professionale.
Cliccando su questa pagina è possibile ottenere l’elenco completo dei router WiFi supportati da Tanaza.
Tanaza è quindi un’ottima soluzione per chi desidera configurare rapidamente uno o più hotspot con la possibilità di gestirli da un unico pannello cloud.
Tanaza può essere utilizzato versando un canone mensile oppure acquistando delle licenze (annuali, pluriennali o “a vita”).
Il prezzo richiesta dalla startup meneghina si basa sempre sul numero di access point installati, e non sugli utenti concorrenti, che sono illimitati.
Sono al momento previsti due piani: quello cloud management, per chi desidera usare una propria splash page ma vuole usare Tanaza per gestire l’infrastruttura dal cloud; e quello all-in-one, che comprende tutti i servizi offerti (splash page, social login, dashboard per visualizzare le statistiche,…).