Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Accès wifi public en entreprise

RoKN

Salut à tous !

Voilà, je me posais une question à laquelle je n'aurais aimé avoir de l'aide pour y répondre :
comment mettre à disposition un point d'accès WIFI "public" tout en sécurisant son réseau ainsi que sa connexion ?

Je m'explique, ma mère a une boutique dans laquelle j'ai installé le système info et on lui demande souvent l'autorisation de se connecter au wifi de sa box, chose à laquelle j'ai toujours dis non bien évidemment.
Le réseau est tout simple pour le moment : point de vente --> box (ovh).

Pour ce qui est de la mise à dispo d'un accès wifi sans que celui-ci n'ai accès au point de vente, un routeur wifi correctement configuré peut faire l'affaire, mais qu'en est-il de la protection de sa connexion ?
J'ai pensé à l'utilisation d'un VPN (faire transiter tout le réseau par le VPN), comme ça l'anonymat est renforcé, mais j'aurai aimé l'avis d'autres personnes avant d'engager des frais :-/

Qu'en pensez-vous ?

jlmas

Sais tu comment gérer la répartition de la bande passante, afin d'éviter que des téléchargements massifs n'impactent le fonctionnement de la partie commerciale ?
Sais tu comment gérer les utilisations illégales de l'accès wifi telles que les téléchargements illégaux, les tentatives de piratage ou de déni de services vers d'autres sites, les publication de contenu contraire à la législation du pays ?

Ce ne sont que quelques idées qui me viennent en tête d’autres compléteront sans doute la liste.
Si tu sais comment répondre à ces problématiques, quelles solutions mettre en œuvre et comment les configurer, c'est tout bon.
Sinon c'est pas mal d'y réfléchir et de trouver la solution adaptée (qui peut très bien être ne ne pas permettre l’accès au Wifi)

smokeh

bonjour
je mettrais en place un alcasar ... un portail captif bien configuré.
ou alors un hotspot sur un routeur sous openwrt avec authentification sur un serveur ( il faut regarder la législation concernant la sauvegarde des logs = 1 ou 2 ans je crois)

RoKN

Justement, ce sont ces problématiques qui me posent soucis.
J'ai quelques bases dans l'utilisation de pfSense (j'ai un routeur chez moi avec pfSense qui tourne dessus, ça me permet d'apprendre). Je ne suis pas adminsys mais je pense pouvoir me débrouiller pour ce qui est de la mise en place d'un portail captif avec limitation de la bande passante mais comme justement je découvre, je demande conseille avant.

Ce que je veux dire, c'est que pour la config d'un routeur pour protéger le réseau local, je pourrais me démerder, c'est plus la partie "utilisation du point d'accès" qui me pose soucis, surtout au regard de la loi.
Admettons que je bloque tout les protocoles et les ports qui vont avec pour ne laisser ouvert que le port 80 et 443, ça n'empêche pas les conneries, du coup comment faire ?
Enregistrer les logs pour les présenter en cas d'ennuis ?
Comment ça se passe dans ce genre de cas ?

Encore une fois, j'ai des bases, mais je ne sais pas comment ça se passe en pratique mais je cherche justement à apprendre :-)

EDIT :
Je confirme, je viens d'arriver à configurer un portail captif sur une interface du routeur ce qui ne pose plus de soucis vis à vis de la sécurité du réseau local.
A partir de là, comment faire pour sécuriser la connexion au yeux de la loi ?
Si j'ai bien compris (corrigez moi si je me plante), lorsqu'on autorise l'accès à notre réseau, on devient fournisseur d'accès et donc on est soumis aux même lois que les FAI, c'est à dire l'enregistrement des logs pendant quelques années (2, c'est ça ?).
DONC, pour être en conformité, c'est bien une histoire de logs, non ?

jlmas

RoKN a écritAdmettons que je bloque tout les protocoles et les ports qui vont avec pour ne laisser ouvert que le port 80 et 443, ça n'empêche pas les conneries, du coup comment faire ?

C'est déjà un bon début, qui va pas mal écrémer les ennuis.

Pour la partie portail captif, je ne saurais t'aider. Je ne suis qu'utilisateur de produits sur étagères pour ce genre de choses. Mais PfSense à l'air de savoir faire tout ce qu'il faut (portail captif et proxy squid). Sans doute qu'en configurant squidgard, là aussi tu vas pas mal diminuer les soucis.

Pour les logs, de ce que je me rappelle c'est un an. Il est préférable d'avoir un serveur de log déporté (donc pas ton serveur PfSense) et sauvegardé. Le soucis, c'est que quoi que tu fasses, tu ne pourras par identifier de manière certaine les fauteurs de troubles (à moins de demander la carte d'identité à chaque connexion et de conserver un fichier avec le nom et l'heure de connexion et je ne pense pas que ce soit légal d'ailleurs), donc il faut au maximum essayer de limiter les ennuis.

Après, il faut surveiller régulièrement via le monitoring de PfSense et réajuster progressivement en fonction des usages et des soucis. En général, l'idée c'est on bloque tout au début et on ouvre progressivement par la suite en fonction de ce que le monitoring nous remonte.

smokeh

oui c'est les logs

RoKN

Dak, merci beaucoup :-)
Concernant les logs, pour pfSense, ce sont la date, l'heure, le processus, le PID et le message contenant le nom du portail captif ainsi que l'identifiant de l'utilisateur, l'adresse MAC de la machine ainsi que l'IP de l'interface locale, j'imagine que ça suffit (notamment l'adresse MAC qui identifie la machine).

Pour ce qui est de la justification de l'identité, à la médiathèque à côté de chez moi ils demandent la carte d'identité pour l'associer avec le login correspondant, donc j'imagine que c'est légal.

jlmas

L'adresse mac n'identifie rien du tout. Avec une adresse mac tu ne peux pas retrouver, ni identifier une personne qui n'est plus dans ton sous réseau.

sudo ifconfig eth0 hw ether 01:02:03:04:05:06

Pour la médiathèque, ils ont certainement une déclaration à la CNIL (https://www.cnil.fr/fr/comprendre-vos-obligations) et il est d'autant plus facile de te donner des droits d'accès à internet qu'ils offrent un service de prêt d’œuvres. Donc tu es identifié lors de ton inscription en donnant ta carte d'identité.

Maintenant pour un hotspot tel que tu le décris, comme ce qui se fait dans certains cafés, là on ne te demande pas de t'inscrire avec carte d'identité pour consommer un café, c'est pour ça que c'est beaucoup plus difficile d'être dans les clous au niveau de la loi. Enfin si tu es dans ce cas de figure.

RoKN

D'accord !
Mais donc alors, si les logs n'identifient rien du tout, à quoi ça sert de garder les logs ?
Juste pour prouver que quelqu'un s'est connecté ce jour là à telle heure sur telle interface, c'est un peu limite pour prouver que si soucis il y a eu, ça viens d'ailleurs, non ?

Brunod

Salut,
Je ne vais pas vous aider car situé en Belgique, ce n'est certainement pas la même législation. Mais à ta place, je commencerais par me renseigner auprès du service informatique d'un établissement officiel qui offre ce genre de service pour être certain de savoir les exigences légales et comment s'y soumettre. Sans quoi, "identifier" quelqu'un ne veut rien dire. Prendre une MAC, faire une copie de sa carte d'identité, avoir une photo de l'utilisateur... ça c'est concret et ne prête pas à discussion.
Sinon +1 pour pfsense 😉

smokeh

concernant la législation : http://www.aecom.org/Vous-informer/Juridique-TIC/Communications-electroniques/Technologies/Conditions-d-acces-a-des-reseaux-sans-fils-hotspot-et-Wifi-publics

RoKN

Ok, donc à conserver pendant 1 an:
- Les informations d’identification de l’utilisateur (ex. : adresses MAC ou IP) ;
- Les informations des terminaux de connexion utilisés ;
- Les dates, heures et durées de chaque communication ;
- Des services complémentaires utilisés ou demandés ainsi que leurs fournisseurs ;
- Les informations qui permettent d’identifier le ou les destinataires de la communication (spécialement pour les activités de téléphonie) ;
- Les données identifiant l’origine et la localisation de la communication.
... mh, je doute que les logs de pfSense soient suffisants, dans le cas de l'utilisation d'un captive portal :

Dec 12 15:39:11 	logportalauth 	95101 	Zone: captiveportal_test_opt1 - LOGIN: bob, *adresse MAC*, 192.168.156.100
Dec 12 15:55:32 	logportalauth 	65575 	Zone: captiveportal_test_opt1 - TIMEOUT: bob, *adresse MAC*, 192.168.156.100

jlmas

Très intéressant le lien pour les informations légales pour les hotspots

RoKN a écritOk, donc à conserver pendant 1 an:
... mh, je doute que les logs de pfSense soient suffisants, dans le cas de l'utilisation d'un captive portal :

- Les informations d’identification de l’utilisateur (ex. : adresses MAC ou IP) => logs arpwatch (de PfSense)
- Les informations des terminaux de connexion utilisés => Ton point d’accès wifi est, je suppose, une réponse suffisante
- Les dates, heures et durées de chaque communication => logs de ton portail captif (de PfSense)
- Des services complémentaires utilisés ou demandés ainsi que leurs fournisseurs ???? Aucune idée de la teneur de la demande
- Les informations qui permettent d’identifier le ou les destinataires de la communication (spécialement pour les activités de téléphonie) => logs du proxy squid (de PfSense)
- Les données identifiant l’origine et la localisation de la communication. => Ton point d’accès wifi est, je suppose, une réponse suffisante

Pour la gestion des logs, on est tenu de les conserver, mais pas de faire le boulot de la police. Si c'est dans des fichiers de logs différents, c'est à eux de faire les recoupements. Par contre il faut que l'horodatage soit correct donc synchroniser son serveur à un serveur de temps et s'assurer que ntp (ou équivalent) fonctionne correctement tout le temps.

RoKN

- Des services complémentaires utilisés ou demandés ainsi que leurs fournisseurs  ???? Aucune idée de la teneur de la demande

J'imagine que c'est si tu proposes un hébergement type mail ? J'sais pas trop non plus.

Ouais, donc pour la gestion des logs, mieux vaut louer un VPS, y faire tourner une distrib avec syslog-ng et envoyer tout les logs dessus et basta à défaut d'avoir son serveur propre à la maison.

Bon en fait ça clarifie un peu le bazar, quoi qu'il en soit il faut donc :
- un routeur digne de ce nom bien configuré (avec portail captif pour chaque utilisateur),
- un VPS pour y envoyer les logs du routeur, logs qu'il faut laisser à disponibilité de la maréchaussée pendant minimum 1 année ~~au risque de se prendre une GMD dans la tronche~~ :rolleyes: