Re: [FRnOG] Gestion Identification Usagers
Le 5 oct. 2011 à 09:49, Martin Lathoud a écrit : >> Pour les logs, c'est la certification machin bidule sur la tracabilité ( >> directive Européenne avec tout plein de chiffres ) > > Par curiosité, qui conserve les logs d'accès web des usagers internes > de sa boite, pendant un an si ma mémoire est bonne? > Et qui encourt quel risque si ce n'est pas fait? Une nouvelle fois, attention à bien distinguer entre réseau ouvert au public (schématiquement, tout ce qui a été déclaré à l'ARCEP) et groupe fermé d'utilisateur (typiquement un LAN d'une entreprise). Attention, la mutualisation "citoyenne" de connexion Internet relève (car interconnexion indirecte avec le reste du monde) du premier cas (et emporte les obligations associées, et oui, opérateur ce n'est pas qu'un droit cela emporte également des devoirs), et est susceptible de déboucher sur les sanctions prévues en cas de non déclaration (1 an et 75 000 euros d'amende). Les obligations de logs portent principalement sur les réseaux ouverts au publics qui sont tenus d'être en mesure d'identifier tout utilisateur se connectant (donc en cas de NAT, il faut être en mesure d'identifier l'utilisateur). Et à ce jour, la localisation précise de l'abonné final ne vaut que pour le service de téléphonie (R.10-13 CPCE). -- Alec, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Gestion Identification Usagers
On Wed, 5 Oct 2011 08:48:51 +0200, "Raphaël Jacquot" said: > > Aussi, nous limiterons les acces a http/https. > > et l'admin réseau qu'a besoin de ssh, la tout de suite ou maintenant ?? > il doit d'abord monter un http tunnel ?? L'admin reseau on s'en fout magistralement. Par contre le PDG qui veut demarrer son client VPN pour lire ses e-mails. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Gestion Identification Usagers
Bonjour, Merci pour ce retour. Je vais les appeler et voir ce qu'ils me repondent. Je posterai la synthese de l'echange. Sebastien De : MM À : Sebastien Maillet Cc : 'bastien.mige...@gmail.com' ; 'frnog@FRnOG.org' Envoyé : Wed Oct 05 09:46:57 2011 Objet : Re: [FRnOG] Gestion Identification Usagers Bonjour, Le mieux est d'appeler l'OCLCTIC - qui pourra répondre à vos questions. O.C.L.T.I.C 101 rue des Trois Fontanot 92000 Nanterre Tél : 01.49.27.49.27 La dernière fois que je l'ai fait - pour un petit hotel - ils m'avaient confirmé que nous devions être en mesure d'identifier la personne se connectant sur un site en fonction d'une heure et d'une adresse IP. Et en me précisant les peines encourues. Lorsque je lui ai demandé comment ils faisaient pour les McDO - et quelles avaient été les peines qu'ils avaient encourues - j'ai juste eu comme réponse que leurs installations n'étaient pas conformes (C'était un bon exemple, l'affaire de "la rumeur" sur un des blogs Jdd sur Sarko/Jouano/Biolay avait poussé les enquêteurs à chercher l'identité d'une personne étant intervenu depuis le McDO des Champs Elysées - ils ont depuis arrêté l'enquête...). N'hésitez pas à poster le retour qu'ils vous feront :) Mathieu Le 5 oct. 2011 à 08:23, Sebastien Maillet a écrit : Merci Bastien. En fait la solution technique du portail d'authentification n'est pas tellement mon inquiétude, de plus je préférerais une solution OpenSource si elle existe. Il s'agit plus de savoir quoi faire lors d'une réquisition judiciaire ciblant une adresse ip publique alors que nous faisons du NAT. Dans ce cas nous ne pourrons donner qu'un groupe d'utilisateurs et pas l'utilisateur ayant commis une infraction. Dans ce est ce suffisant vis a vis de la réquisition ? (Il semblerait que oui si j'en crois certaines reponses). Merci :) Sebastien
Re: [FRnOG] Gestion Identification Usagers
Le 5 octobre 2011 09:34, Raphael MAUNIER a écrit : > Pour les logs, c'est la certification machin bidule sur la tracabilité ( > directive Européenne avec tout plein de chiffres ) Par curiosité, qui conserve les logs d'accès web des usagers internes de sa boite, pendant un an si ma mémoire est bonne? Et qui encourt quel risque si ce n'est pas fait? merci, Martin. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Gestion Identification Usagers
Bonjour, Le mieux est d'appeler l'OCLCTIC - qui pourra répondre à vos questions. O.C.L.T.I.C 101 rue des Trois Fontanot 92000 Nanterre Tél : 01.49.27.49.27 La dernière fois que je l'ai fait - pour un petit hotel - ils m'avaient confirmé que nous devions être en mesure d'identifier la personne se connectant sur un site en fonction d'une heure et d'une adresse IP. Et en me précisant les peines encourues. Lorsque je lui ai demandé comment ils faisaient pour les McDO - et quelles avaient été les peines qu'ils avaient encourues - j'ai juste eu comme réponse que leurs installations n'étaient pas conformes (C'était un bon exemple, l'affaire de "la rumeur" sur un des blogs Jdd sur Sarko/Jouano/Biolay avait poussé les enquêteurs à chercher l'identité d'une personne étant intervenu depuis le McDO des Champs Elysées - ils ont depuis arrêté l'enquête...). N'hésitez pas à poster le retour qu'ils vous feront :) Mathieu Le 5 oct. 2011 à 08:23, Sebastien Maillet a écrit : > Merci Bastien. > En fait la solution technique du portail d'authentification n'est pas > tellement mon inquiétude, de plus je préférerais une solution OpenSource si > elle existe. > Il s'agit plus de savoir quoi faire lors d'une réquisition judiciaire ciblant > une adresse ip publique alors que nous faisons du NAT. Dans ce cas nous ne > pourrons donner qu'un groupe d'utilisateurs et pas l'utilisateur ayant commis > une infraction. Dans ce est ce suffisant vis a vis de la réquisition ? (Il > semblerait que oui si j'en crois certaines reponses). > > Merci :) > Sebastien > >
Re: [FRnOG] Gestion Identification Usagers
On 10/5/11 9:30 AM, "Raphaël Jacquot" wrote: > >On 5 oct. 2011, at 09:18, Raphael MAUNIER wrote: > >> >> Ou pourrait aussi demander un compte SIP gratos avec appel gratuit >>jusque >> sur la Lune ? > >qui a parlé d'un SIP gratos ? >le mec qui se paye un accès SIP chez XYZ, pourquoi ne pourrait il pas >l'utiliser à partir de cet accès ? C'est pas grave, t'as pas l'air de comprendre le "non" débat :) > >> Sinon Sebastien, de mémoire Ucopia a une certification "a la con" qui >>fait >> que c'est super simple de discuter avec les instances légale s'ils te >> demandent les logs. > >aux dernières nouvelles ça n'existe pas ça. les instances légales ne >savent pas se servir de whois, et demandent au tenancier du lieu qui >fournit la solution... Faux, pas plus loin que la semaine dernière, les mecs avaient regardé sur le ripe et m'avaient contacté pour vérifier les infos. Et ils avaient déjà le nom du client final. Pour les logs, c'est la certification machin bidule sur la tracabilité ( directive Européenne avec tout plein de chiffres ) > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Gestion Identification Usagers
Le 05/10/2011 09:18, Raphael MAUNIER a écrit : On parle d'un accès gratuit, hein :) Tu ne veux pas aussi un accès gratuit aux chaines payantes et PPV, livraison gratuite de pizza ? Ou pourrait aussi demander un compte SIP gratos avec appel gratuit jusque sur la Lune ? Tant que c'est pas marqué "Internet" dessus ;) http://www.bortzmeyer.org/4084.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Gestion Identification Usagers
On 5 oct. 2011, at 09:18, Raphael MAUNIER wrote: > > Ou pourrait aussi demander un compte SIP gratos avec appel gratuit jusque > sur la Lune ? qui a parlé d'un SIP gratos ? le mec qui se paye un accès SIP chez XYZ, pourquoi ne pourrait il pas l'utiliser à partir de cet accès ? > Sinon Sebastien, de mémoire Ucopia a une certification "a la con" qui fait > que c'est super simple de discuter avec les instances légale s'ils te > demandent les logs. aux dernières nouvelles ça n'existe pas ça. les instances légales ne savent pas se servir de whois, et demandent au tenancier du lieu qui fournit la solution... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Gestion Identification Usagers
On parle d'un accès gratuit, hein :) Tu ne veux pas aussi un accès gratuit aux chaines payantes et PPV, livraison gratuite de pizza ? Ou pourrait aussi demander un compte SIP gratos avec appel gratuit jusque sur la Lune ? Sinon Sebastien, de mémoire Ucopia a une certification "a la con" qui fait que c'est super simple de discuter avec les instances légale s'ils te demandent les logs. C'est ce que l'on met en place sur notre Wifi qui est disponible partout ou on a des salles ou des baies. Pour la montée en charge, aucune idée, pour nous c'est pas pour un usage de ce type, on parle de maximum 50 cnx Voila -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 On 10/5/11 8:53 AM, "Raphaël Jacquot" wrote: > >On 5 oct. 2011, at 08:52, Sebastien Maillet wrote: > >> Nous avons un acces inband decorelle de l'acces publique, donc a priori >>pas de problème pour limiter en http/https > >je parlais pas de *votre* accès, mais de celui d'une personne passant par >la qui a un besoin impérieux de ssh >apres, le gars il peut avoir besoin de sip, de skype (c'est ptet un >mauvais exemple), de snmp, de Š que sais-je ! > >> >> - Message d'origine - >> De : Raphaël Jacquot >> À : Sebastien Maillet >> Cc : Liste FRnoG >> Envoyé : Wed Oct 05 08:48:51 2011 >> Objet : Re: [FRnOG] Gestion Identification Usagers >> >> >> On 5 oct. 2011, at 08:46, Sebastien Maillet wrote: >> >>> Merci Pascal. >>> Donc en résumé un "simple" log ip/user/quand suffit vis a vis de >>>autorités. Même si lors d'une requisition nous leur communiquons une >>>liste de 50 utilisateurs ? >> >> oui >> >>> Aussi, nous limiterons les acces a http/https. >> >> et l'admin réseau qu'a besoin de ssh, la tout de suite ou maintenant ?? >> il doit d'abord monter un http tunnel ?? >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > >--- >Liste de diffusion du FRnOG >http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Gestion Identification Usagers
On 5 oct. 2011, at 08:52, Sebastien Maillet wrote: > Nous avons un acces inband decorelle de l'acces publique, donc a priori pas > de problème pour limiter en http/https je parlais pas de *votre* accès, mais de celui d'une personne passant par la qui a un besoin impérieux de ssh apres, le gars il peut avoir besoin de sip, de skype (c'est ptet un mauvais exemple), de snmp, de … que sais-je ! > > - Message d'origine - > De : Raphaël Jacquot > À : Sebastien Maillet > Cc : Liste FRnoG > Envoyé : Wed Oct 05 08:48:51 2011 > Objet : Re: [FRnOG] Gestion Identification Usagers > > > On 5 oct. 2011, at 08:46, Sebastien Maillet wrote: > >> Merci Pascal. >> Donc en résumé un "simple" log ip/user/quand suffit vis a vis de autorités. >> Même si lors d'une requisition nous leur communiquons une liste de 50 >> utilisateurs ? > > oui > >> Aussi, nous limiterons les acces a http/https. > > et l'admin réseau qu'a besoin de ssh, la tout de suite ou maintenant ?? > il doit d'abord monter un http tunnel ?? > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Gestion Identification Usagers
Bonjour Sébastien, Pour les solution libre il y a Kanet qui a l'air intéressant car très flexible. Pour les autorités je ne pense pas que ça soit bloquant, nous avons déjà eu le cas est nous n'avons pas été embêté. ++ Julien Le 5 oct. 2011 à 08:34, Sebastien Maillet a écrit : > Merci Christophe. > Pour l'archi globale du reseau nous avons bien concu la solution et je ne > m'inquiete pas pour ca. Concernant le nombre d'utlisateurs max simultanes, il > sera entre 1000 et 2000. Nous serons aussi en mesure de localiser précisément > chaque utilisateur. > Si je reçois une réquisition a partir d'une adresse ip publique, je pourrais > donc idemtifier tous les usagers etant nate derrière l'adresse ip publique. > Il se peut qu'il y ait jusqu'a 100 utilisateurs ... Cela posera t il un > problème aux autorités publiques ? Enfin pourront ils nous "embeter" ou bien > serons nous en conformite ? > Merci. > Sebastien > > De : Christophe > À : Sebastien Maillet > Cc : frnog@FRnOG.org > Envoyé : Tue Oct 04 20:08:37 2011 > Objet : Re: [FRnOG] Gestion Identification Usagers > > Salut, > > il y a quand même des questions structurantes sur ce type de déploiement: > > - Combien de hotspots comptes tu déployer ? > - Combien de site auront un hotspot (est ce un déploiement pour couvrir > plusieurs jardins publiques dans une ville ou bien c'est juste un accès wifi > à l'accueil d'une société pour les visiteurs ?) > - Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ? > > etc... > > Si tu utilises de l'adressage privée il te faudra au minimum logger la > correspondance IP privée/login + date/heure au niveau portail captif, ainsi > que IP privée/IP pub + date/heure sur l'équipement qui va faire le NAT et > faire ta corrélation (si ce sont des équipements différents) > > En terme d'obligation légale bien souvent on te donne une IP avec une heure à > laquelle elle a commit un "délit" très rarement le port source, et toi tu > devras répondre QUI et où (localisation du hotspot)... > > Christophe > > > On 04/10/2011 18:39, Sebastien Maillet wrote: >> >> Bonjour, >> >> Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est >> une vraie mine d’information ! >> >> Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir de >> réponse claire pour le moment. >> Je cherche à mettre en place un réseau d’accès Internet « gratuit » type >> WIFI où les utilisateurs ne sont pas identifiés à l’avance. >> Ils doivent donc faire une demande d’accès à travers un portail captif, ils >> laissent leur nom/prénom/adresse et un code d’accès leur est ensuite >> communiqué (par mail ou par SMS). >> >> Le problème qui se pose est que nous souhaitons leur fournir des adresses ip >> privées. >> En effet, si nous recevons une réquisition de la part de la gendarmerie nous >> demandant l’identification d’un usager à partir d’une adresse IP publique, >> ca va être compliqué … Nous serons capable de donner le groupe >> d’utilisateurs ayant partagé cette adresse ip publique, mais sans rien >> mettre de plus que les loggs NAT il nous sera impossible d’identifier >> l’utilisateur recherché. >> Nous avons pensé mettre en place un firewall applicatif qui nous donnerait >> des précisions sur les sessions montées à partir des adresses privées, ce >> qui nous permettrait d’affiner la recherche, mais il semblerait que cela ne >> soit pas légal. >> >> Avez-vous déjà rencontré ce type de problème et l’avez-vous résolu ? >> (mise à part en mettant de l’adressage publique bien sur :o) ) >> >> Merci pour vos retours. >> >> Sebastien >
Re: [FRnOG] Gestion Identification Usagers
Nous avons un acces inband decorelle de l'acces publique, donc a priori pas de problème pour limiter en http/https - Message d'origine - De : Raphaël Jacquot À : Sebastien Maillet Cc : Liste FRnoG Envoyé : Wed Oct 05 08:48:51 2011 Objet : Re: [FRnOG] Gestion Identification Usagers On 5 oct. 2011, at 08:46, Sebastien Maillet wrote: > Merci Pascal. > Donc en résumé un "simple" log ip/user/quand suffit vis a vis de autorités. > Même si lors d'une requisition nous leur communiquons une liste de 50 > utilisateurs ? oui > Aussi, nous limiterons les acces a http/https. et l'admin réseau qu'a besoin de ssh, la tout de suite ou maintenant ?? il doit d'abord monter un http tunnel ?? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Gestion Identification Usagers
Ok, merci Julien. Ca me rassure, a priori pas besoin de mettre de solution trop intrusive alors. Sebastien De : julien bonnaud À : Sebastien Maillet Cc : 'ckuczyn...@gmail.com' ; 'frnog@FRnOG.org' Envoyé : Wed Oct 05 08:45:54 2011 Objet : Re: [FRnOG] Gestion Identification Usagers Bonjour Sébastien, Pour les solution libre il y a Kanet qui a l'air intéressant car très flexible. Pour les autorités je ne pense pas que ça soit bloquant, nous avons déjà eu le cas est nous n'avons pas été embêté. ++ Julien Le 5 oct. 2011 à 08:34, Sebastien Maillet a écrit : Merci Christophe. Pour l'archi globale du reseau nous avons bien concu la solution et je ne m'inquiete pas pour ca. Concernant le nombre d'utlisateurs max simultanes, il sera entre 1000 et 2000. Nous serons aussi en mesure de localiser précisément chaque utilisateur. Si je reçois une réquisition a partir d'une adresse ip publique, je pourrais donc idemtifier tous les usagers etant nate derrière l'adresse ip publique. Il se peut qu'il y ait jusqu'a 100 utilisateurs ... Cela posera t il un problème aux autorités publiques ? Enfin pourront ils nous "embeter" ou bien serons nous en conformite ? Merci. Sebastien De : Christophe mailto:ckuczyn...@gmail.com>> À : Sebastien Maillet Cc : frnog@FRnOG.org<mailto:frnog@FRnOG.org> mailto:frnog@FRnOG.org>> Envoyé : Tue Oct 04 20:08:37 2011 Objet : Re: [FRnOG] Gestion Identification Usagers Salut, il y a quand même des questions structurantes sur ce type de déploiement: - Combien de hotspots comptes tu déployer ? - Combien de site auront un hotspot (est ce un déploiement pour couvrir plusieurs jardins publiques dans une ville ou bien c'est juste un accès wifi à l'accueil d'une société pour les visiteurs ?) - Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ? etc... Si tu utilises de l'adressage privée il te faudra au minimum logger la correspondance IP privée/login + date/heure au niveau portail captif, ainsi que IP privée/IP pub + date/heure sur l'équipement qui va faire le NAT et faire ta corrélation (si ce sont des équipements différents) En terme d'obligation légale bien souvent on te donne une IP avec une heure à laquelle elle a commit un "délit" très rarement le port source, et toi tu devras répondre QUI et où (localisation du hotspot)... Christophe On 04/10/2011 18:39, Sebastien Maillet wrote: Bonjour, Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est une vraie mine d’information ! Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir de réponse claire pour le moment. Je cherche à mettre en place un réseau d’accès Internet « gratuit » type WIFI où les utilisateurs ne sont pas identifiés à l’avance. Ils doivent donc faire une demande d’accès à travers un portail captif, ils laissent leur nom/prénom/adresse et un code d’accès leur est ensuite communiqué (par mail ou par SMS). Le problème qui se pose est que nous souhaitons leur fournir des adresses ip privées. En effet, si nous recevons une réquisition de la part de la gendarmerie nous demandant l’identification d’un usager à partir d’une adresse IP publique, ca va être compliqué … Nous serons capable de donner le groupe d’utilisateurs ayant partagé cette adresse ip publique, mais sans rien mettre de plus que les loggs NAT il nous sera impossible d’identifier l’utilisateur recherché. Nous avons pensé mettre en place un firewall applicatif qui nous donnerait des précisions sur les sessions montées à partir des adresses privées, ce qui nous permettrait d’affiner la recherche, mais il semblerait que cela ne soit pas légal. Avez-vous déjà rencontré ce type de problème et l’avez-vous résolu ? (mise à part en mettant de l’adressage publique bien sur :o) ) Merci pour vos retours. Sebastien
Re: [FRnOG] Gestion Identification Usagers
On 5 oct. 2011, at 08:46, Sebastien Maillet wrote: > Merci Pascal. > Donc en résumé un "simple" log ip/user/quand suffit vis a vis de autorités. > Même si lors d'une requisition nous leur communiquons une liste de 50 > utilisateurs ? oui > Aussi, nous limiterons les acces a http/https. et l'admin réseau qu'a besoin de ssh, la tout de suite ou maintenant ?? il doit d'abord monter un http tunnel ?? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Gestion Identification Usagers
Merci Pascal. Donc en résumé un "simple" log ip/user/quand suffit vis a vis de autorités. Même si lors d'une requisition nous leur communiquons une liste de 50 utilisateurs ? Aussi, nous limiterons les acces a http/https. Sebastien - Message d'origine - De : syru...@gmail.com À : Sebastien Maillet Cc : frnog@FRnOG.org Envoyé : Wed Oct 05 06:09:51 2011 Objet : Re: [FRnOG] Gestion Identification Usagers Le 4 octobre 2011 18:39, Sebastien Maillet a écrit : > Bonjour, > Je cherche à mettre en place un réseau d’accès Internet « gratuit » type > WIFI où les utilisateurs ne sont pas identifiés à l’avance. > > Ils doivent donc faire une demande d’accès à travers un portail captif, ils > laissent leur nom/prénom/adresse et un code d’accès leur est ensuite > communiqué (par mail ou par SMS). La solution sms est la meilleure car les opérateurs de téléphonie mobile ont la vraie identité dans la plus part des cas, sauf des cartes prépayées réglées en espèces, oui oui c'est possible, mais cela n'est plus ton problème. Le mail aussi, mais après si la personne remplit de fausses infos, c'est aussi le problème de la personne qui fait une fausse déclaration. Ici à FFW, dans le formulaire, il y a une certification sur l'honneur de l'exactitude des infos. > Le problème qui se pose est que nous souhaitons leur fournir des adresses ip > privées. Tout est dit :) En effet, en mode NAT, il va être nécessaire de logguer plus que les sessions mais aussi les usages, restreindre les usages, ex: laisser que http/https et logguer cela. Cette technique nous gène à FFW car même si le log n'est regardé que lors de demandes, cela est une intrusion dans la vie privée des utilisateurs. Nous avons juste besoin de savoir où a été l'utilisateur, et non pas ce qu'il a fait. C'est pour cela que nous expérimentons actuellement et cela depuis presque 6 mois l'usage d'ip publiques pour les nomades en wifi. Ils s'identifient toujours sur le portail captif, mais seul le log ip/user/quand nous suffit et convient très bien en cas de requêtes. Cdt, -- Pascal Rullier Fédération France Wireless .+-yם*'v�Q�ᡶ��0~�肊�
Re: [FRnOG] Gestion Identification Usagers
Merci Abou. Ca m'interesse ! Ucopia permet il de logger les ports source lors de l'operation de natage ? Sebastien De : abou.andi...@gmail.com À : Christophe Cc : Sebastien Maillet; frnog@FRnOG.org Envoyé : Wed Oct 05 00:27:11 2011 Objet : Re: [FRnOG] Gestion Identification Usagers Bonjour, Je commence par me présenter. Je suis actuellement en dernière année d'une formation d'ingénieur Réseaux et Télécoms à Télécom Bretagne en alternance. Etant sur cette mliste depuis quelques mois (depuis la journée IPV6 WG day sur Paris), j'apprends beaucoup de choses sur tous les plans. Je me permets de réagir sur un sujet où j'ai des idées. J'ai déjà travaillé sur le matériel Ucopia. En effet, ce produit peut répondre à ta demande. Tu peux gérer le profil des utilisateurs, définir les services auxquels ils ont accès (autorisations possibles sur une plage horaires). Il existe 5 modèles comme nous pouvons le voir sur le tableau ci-dessous: Tu peux avoir les journaux des évènements : - des sessions utilisateurs : nom, prénom, @IP, heure de connexion/déconnexion, services autorisés..., - du trafic, des url. Tout ceci est stocké dans une base de données SQL et il est possible d'exporter les journaux. Ce produit est bien et facile à administrer. Je ne fais pas de la pub et ne doute pas qu'il existe sûrement d'autres solutions qui peuvent répondre à tes besoins. Espérant que cela puisse t'aider. Bonne recherche. Cordialement, Abou Ndiaye Le 4 octobre 2011 20:08, Christophe mailto:ckuczyn...@gmail.com>> a écrit : Salut, il y a quand même des questions structurantes sur ce type de déploiement: - Combien de hotspots comptes tu déployer ? - Combien de site auront un hotspot (est ce un déploiement pour couvrir plusieurs jardins publiques dans une ville ou bien c'est juste un accès wifi à l'accueil d'une société pour les visiteurs ?) - Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ? etc... Si tu utilises de l'adressage privée il te faudra au minimum logger la correspondance IP privée/login + date/heure au niveau portail captif, ainsi que IP privée/IP pub + date/heure sur l'équipement qui va faire le NAT et faire ta corrélation (si ce sont des équipements différents) En terme d'obligation légale bien souvent on te donne une IP avec une heure à laquelle elle a commit un "délit" très rarement le port source, et toi tu devras répondre QUI et où (localisation du hotspot)... Christophe On 04/10/2011 18:39, Sebastien Maillet wrote: Bonjour, Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est une vraie mine d’information ! Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir de réponse claire pour le moment. Je cherche à mettre en place un réseau d’accès Internet « gratuit » type WIFI où les utilisateurs ne sont pas identifiés à l’avance. Ils doivent donc faire une demande d’accès à travers un portail captif, ils laissent leur nom/prénom/adresse et un code d’accès leur est ensuite communiqué (par mail ou par SMS). Le problème qui se pose est que nous souhaitons leur fournir des adresses ip privées. En effet, si nous recevons une réquisition de la part de la gendarmerie nous demandant l’identification d’un usager à partir d’une adresse IP publique, ca va être compliqué … Nous serons capable de donner le groupe d’utilisateurs ayant partagé cette adresse ip publique, mais sans rien mettre de plus que les loggs NAT il nous sera impossible d’identifier l’utilisateur recherché. Nous avons pensé mettre en place un firewall applicatif qui nous donnerait des précisions sur les sessions montées à partir des adresses privées, ce qui nous permettrait d’affiner la recherche, mais il semblerait que cela ne soit pas légal. Avez-vous déjà rencontré ce type de problème et l’avez-vous résolu ? (mise à part en mettant de l’adressage publique bien sur :o) ) Merci pour vos retours. Sebastien -- Cordialement, Abou NDIAYE Apprenti Télécom Bretagne Formation d'Ingénieur en Partenariat abou.ndi...@telecom-bretagne.eu<mailto:abou.ndi...@telecom-bretagne.eu>
Re: [FRnOG] Gestion Identification Usagers
Merci Christophe. Pour l'archi globale du reseau nous avons bien concu la solution et je ne m'inquiete pas pour ca. Concernant le nombre d'utlisateurs max simultanes, il sera entre 1000 et 2000. Nous serons aussi en mesure de localiser précisément chaque utilisateur. Si je reçois une réquisition a partir d'une adresse ip publique, je pourrais donc idemtifier tous les usagers etant nate derrière l'adresse ip publique. Il se peut qu'il y ait jusqu'a 100 utilisateurs ... Cela posera t il un problème aux autorités publiques ? Enfin pourront ils nous "embeter" ou bien serons nous en conformite ? Merci. Sebastien De : Christophe À : Sebastien Maillet Cc : frnog@FRnOG.org Envoyé : Tue Oct 04 20:08:37 2011 Objet : Re: [FRnOG] Gestion Identification Usagers Salut, il y a quand même des questions structurantes sur ce type de déploiement: - Combien de hotspots comptes tu déployer ? - Combien de site auront un hotspot (est ce un déploiement pour couvrir plusieurs jardins publiques dans une ville ou bien c'est juste un accès wifi à l'accueil d'une société pour les visiteurs ?) - Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ? etc... Si tu utilises de l'adressage privée il te faudra au minimum logger la correspondance IP privée/login + date/heure au niveau portail captif, ainsi que IP privée/IP pub + date/heure sur l'équipement qui va faire le NAT et faire ta corrélation (si ce sont des équipements différents) En terme d'obligation légale bien souvent on te donne une IP avec une heure à laquelle elle a commit un "délit" très rarement le port source, et toi tu devras répondre QUI et où (localisation du hotspot)... Christophe On 04/10/2011 18:39, Sebastien Maillet wrote: Bonjour, Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est une vraie mine d’information ! Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir de réponse claire pour le moment. Je cherche à mettre en place un réseau d’accès Internet « gratuit » type WIFI où les utilisateurs ne sont pas identifiés à l’avance. Ils doivent donc faire une demande d’accès à travers un portail captif, ils laissent leur nom/prénom/adresse et un code d’accès leur est ensuite communiqué (par mail ou par SMS). Le problème qui se pose est que nous souhaitons leur fournir des adresses ip privées. En effet, si nous recevons une réquisition de la part de la gendarmerie nous demandant l’identification d’un usager à partir d’une adresse IP publique, ca va être compliqué … Nous serons capable de donner le groupe d’utilisateurs ayant partagé cette adresse ip publique, mais sans rien mettre de plus que les loggs NAT il nous sera impossible d’identifier l’utilisateur recherché. Nous avons pensé mettre en place un firewall applicatif qui nous donnerait des précisions sur les sessions montées à partir des adresses privées, ce qui nous permettrait d’affiner la recherche, mais il semblerait que cela ne soit pas légal. Avez-vous déjà rencontré ce type de problème et l’avez-vous résolu ? (mise à part en mettant de l’adressage publique bien sur :o) ) Merci pour vos retours. Sebastien
Re: [FRnOG] Gestion Identification Usagers
Merci Bastien. En fait la solution technique du portail d'authentification n'est pas tellement mon inquiétude, de plus je préférerais une solution OpenSource si elle existe. Il s'agit plus de savoir quoi faire lors d'une réquisition judiciaire ciblant une adresse ip publique alors que nous faisons du NAT. Dans ce cas nous ne pourrons donner qu'un groupe d'utilisateurs et pas l'utilisateur ayant commis une infraction. Dans ce est ce suffisant vis a vis de la réquisition ? (Il semblerait que oui si j'en crois certaines reponses). Merci :) Sebastien De : Bastien Migette À : Sebastien Maillet; frnog@FRnOG.org Envoyé : Tue Oct 04 19:39:09 2011 Objet : RE: [FRnOG] Gestion Identification Usagers Bonjour Sebastien, Tu as la solution Cisco Nac Guest Server, ou bien plus récemment Identity Service Engine, qui permets de gérer les utilisateurs de type guest et de leur envoyer un mot de passe via SMS/MAIL, et qui permets d’être provisionné en tant que base LDAP pour un server AAA comme ACS par exemple. D’autres constructeurs ont aussi certainement ce genre de solutions, mais je n’en connais pas. @+ From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of Sebastien Maillet Sent: Tuesday, October 04, 2011 18:39 To: frnog@FRnOG.org Subject: [FRnOG] Gestion Identification Usagers Bonjour, Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est une vraie mine d’information ! Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir de réponse claire pour le moment. Je cherche à mettre en place un réseau d’accès Internet « gratuit » type WIFI où les utilisateurs ne sont pas identifiés à l’avance. Ils doivent donc faire une demande d’accès à travers un portail captif, ils laissent leur nom/prénom/adresse et un code d’accès leur est ensuite communiqué (par mail ou par SMS). Le problème qui se pose est que nous souhaitons leur fournir des adresses ip privées. En effet, si nous recevons une réquisition de la part de la gendarmerie nous demandant l’identification d’un usager à partir d’une adresse IP publique, ca va être compliqué … Nous serons capable de donner le groupe d’utilisateurs ayant partagé cette adresse ip publique, mais sans rien mettre de plus que les loggs NAT il nous sera impossible d’identifier l’utilisateur recherché. Nous avons pensé mettre en place un firewall applicatif qui nous donnerait des précisions sur les sessions montées à partir des adresses privées, ce qui nous permettrait d’affiner la recherche, mais il semblerait que cela ne soit pas légal. Avez-vous déjà rencontré ce type de problème et l’avez-vous résolu ? (mise à part en mettant de l’adressage publique bien sur :o) ) Merci pour vos retours. Sebastien
Re: [FRnOG] Gestion Identification Usagers
Le 4 octobre 2011 18:39, Sebastien Maillet a écrit : > Bonjour, > Je cherche à mettre en place un réseau d’accès Internet « gratuit » type > WIFI où les utilisateurs ne sont pas identifiés à l’avance. > > Ils doivent donc faire une demande d’accès à travers un portail captif, ils > laissent leur nom/prénom/adresse et un code d’accès leur est ensuite > communiqué (par mail ou par SMS). La solution sms est la meilleure car les opérateurs de téléphonie mobile ont la vraie identité dans la plus part des cas, sauf des cartes prépayées réglées en espèces, oui oui c'est possible, mais cela n'est plus ton problème. Le mail aussi, mais après si la personne remplit de fausses infos, c'est aussi le problème de la personne qui fait une fausse déclaration. Ici à FFW, dans le formulaire, il y a une certification sur l'honneur de l'exactitude des infos. > Le problème qui se pose est que nous souhaitons leur fournir des adresses ip > privées. Tout est dit :) En effet, en mode NAT, il va être nécessaire de logguer plus que les sessions mais aussi les usages, restreindre les usages, ex: laisser que http/https et logguer cela. Cette technique nous gène à FFW car même si le log n'est regardé que lors de demandes, cela est une intrusion dans la vie privée des utilisateurs. Nous avons juste besoin de savoir où a été l'utilisateur, et non pas ce qu'il a fait. C'est pour cela que nous expérimentons actuellement et cela depuis presque 6 mois l'usage d'ip publiques pour les nomades en wifi. Ils s'identifient toujours sur le portail captif, mais seul le log ip/user/quand nous suffit et convient très bien en cas de requêtes. Cdt, -- Pascal Rullier Fédération France Wireless --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Gestion Identification Usagers
Hello, Si tu as un portail captif, et peu de trafic, l’idéal est d'avoir une boite "clef en main" qui fera portail captif + passerelle vers Internet + dhcp sur ton LAN. Ex OpenSource : pfsense fait ça très bien, et pour le coup sur la même machine tu auras les logs authentification + dhcp + nat sans problèmes d'horodatage de logs. Si tu pars sur des briques dédiées pour chaque rôle, n'oublie pas le ntp et un bon syslog (voire du splunk, si tu as peu de volumetrie de logs). Tu peux avoir a logguer les requêtes DNS aussi, pour lier une connexion spécifique a des sites hébergés sur la même @IP, mais la il faut soit que tu proxifies les requêtes DNS, soit que tu filtres les requêtes DNS sortantes, pour être sur d'avoir la visibilité de toutes les requêtes DNS (c'est moche, et même pas sur que ce soit légal, mais bon tant que les réquisitions judiciaires n'iront pas plus loin que "c'est cette @IP publique qui a fait quelque chose d’illégal, a telle heure", faudra ruser). Et la tu as le droit de te dire "vivement l'ipv6" ! Pour faire le lien avec un autre sujet en cours sur FRnOG : si tu vises peu de clients simultanés (<1000 typiquement), tu peux aussi regarder l’intérêt de devenir LIR au RIPE, et obtenir tes scopes IPv4 publiques (/22 minimum a priori, mais je laisse les experts sur ce sujet commenter). Sur le portail captif, la bonne approche : l'envoi de SMS pour se connecter. (Je crois me souvenir d'un thread précédent, que l’aéroport de Pau utilise une solution de ce type la, mais sur la personne qui avait envoye cette info peut se manifester pour confirmer, ça sera mieux !) Tu as une correspondance @IP Privée / numéro de téléphone, et tu peux botter en touche chez les opérateurs de téléphonie mobile pour retrouver la personne réelle. Et ça, botter en touche chez les opérateurs de téléphonie mobile, ça n'a pas de prix ! :D Bonne soirée Guillaume Le 4 octobre 2011 20:08, Christophe a écrit : > ** > Salut, > > il y a quand même des questions structurantes sur ce type de déploiement: > > - Combien de hotspots comptes tu déployer ? > - Combien de site auront un hotspot (est ce un déploiement pour couvrir > plusieurs jardins publiques dans une ville ou bien c'est juste un accès wifi > à l'accueil d'une société pour les visiteurs ?) > - Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ? > > etc... > > Si tu utilises de l'adressage privée il te faudra au minimum logger la > correspondance IP privée/login + date/heure au niveau portail captif, ainsi > que IP privée/IP pub + date/heure sur l'équipement qui va faire le NAT et > faire ta corrélation (si ce sont des équipements différents) > > En terme d'obligation légale bien souvent on te donne une IP avec une heure > à laquelle elle a commit un "délit" très rarement le port source, et toi tu > devras répondre QUI et où (localisation du hotspot)... > > Christophe > > > > On 04/10/2011 18:39, Sebastien Maillet wrote: > > Bonjour, > > ** ** > > Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est > une vraie mine d’information ! > > ** ** > > Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir > de réponse claire pour le moment. > > Je cherche à mettre en place un réseau d’accès Internet « gratuit » type > WIFI où les utilisateurs ne sont pas identifiés à l’avance. > > Ils doivent donc faire une demande d’accès à travers un portail captif, ils > laissent leur nom/prénom/adresse et un code d’accès leur est ensuite > communiqué (par mail ou par SMS). > > ** ** > > Le problème qui se pose est que nous souhaitons leur fournir des adresses > ip privées. > > En effet, si nous recevons une réquisition de la part de la gendarmerie > nous demandant l’identification d’un usager à partir d’une adresse IP > publique, ca va être compliqué … Nous serons capable de donner le groupe > d’utilisateurs ayant partagé cette adresse ip publique, mais sans rien > mettre de plus que les loggs NAT il nous sera impossible d’identifier > l’utilisateur recherché. > > Nous avons pensé mettre en place un firewall applicatif qui nous donnerait > des précisions sur les sessions montées à partir des adresses privées, ce > qui nous permettrait d’affiner la recherche, mais il semblerait que cela ne > soit pas légal. > > ** ** > > Avez-vous déjà rencontré ce type de problème et l’avez-vous résolu ? > > (mise à part en mettant de l’adressage publique bien sur :o) ) > > ** ** > > Merci pour vos retours. > > ** ** > > Sebastien > > > -- Cordialement, Guillaume BARROT
Re: [FRnOG] Gestion Identification Usagers
Salut, il y a quand même des questions structurantes sur ce type de déploiement: - Combien de hotspots comptes tu déployer ? - Combien de site auront un hotspot (est ce un déploiement pour couvrir plusieurs jardins publiques dans une ville ou bien c'est juste un accès wifi à l'accueil d'une société pour les visiteurs ?) - Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ? etc... Si tu utilises de l'adressage privée il te faudra au minimum logger la correspondance IP privée/login + date/heure au niveau portail captif, ainsi que IP privée/IP pub + date/heure sur l'équipement qui va faire le NAT et faire ta corrélation (si ce sont des équipements différents) En terme d'obligation légale bien souvent on te donne une IP avec une heure à laquelle elle a commit un "délit" très rarement le port source, et toi tu devras répondre QUI et où (localisation du hotspot)... Christophe On 04/10/2011 18:39, Sebastien Maillet wrote: Bonjour, Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est une vraie mine d'information ! Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir de réponse claire pour le moment. Je cherche à mettre en place un réseau d'accès Internet « gratuit » type WIFI où les utilisateurs ne sont pas identifiés à l'avance. Ils doivent donc faire une demande d'accès à travers un portail captif, ils laissent leur nom/prénom/adresse et un code d'accès leur est ensuite communiqué (par mail ou par SMS). Le problème qui se pose est que nous souhaitons leur fournir des adresses ip privées. En effet, si nous recevons une réquisition de la part de la gendarmerie nous demandant l'identification d'un usager à partir d'une adresse IP publique, ca va être compliqué ... Nous serons capable de donner le groupe d'utilisateurs ayant partagé cette adresse ip publique, mais sans rien mettre de plus que les loggs NAT il nous sera impossible d'identifier l'utilisateur recherché. Nous avons pensé mettre en place un firewall applicatif qui nous donnerait des précisions sur les sessions montées à partir des adresses privées, ce qui nous permettrait d'affiner la recherche, mais il semblerait que cela ne soit pas légal. Avez-vous déjà rencontré ce type de problème et l'avez-vous résolu ? (mise à part en mettant de l'adressage publique bien sur :o) ) Merci pour vos retours. Sebastien
RE: [FRnOG] Gestion Identification Usagers
Bonjour Sebastien, Tu as la solution Cisco Nac Guest Server, ou bien plus récemment Identity Service Engine, qui permets de gérer les utilisateurs de type guest et de leur envoyer un mot de passe via SMS/MAIL, et qui permets dêtre provisionné en tant que base LDAP pour un server AAA comme ACS par exemple. Dautres constructeurs ont aussi certainement ce genre de solutions, mais je nen connais pas. @+ From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of Sebastien Maillet Sent: Tuesday, October 04, 2011 18:39 To: frnog@FRnOG.org Subject: [FRnOG] Gestion Identification Usagers Bonjour, Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est une vraie mine dinformation ! Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir de réponse claire pour le moment. Je cherche à mettre en place un réseau daccès Internet « gratuit » type WIFI où les utilisateurs ne sont pas identifiés à lavance. Ils doivent donc faire une demande daccès à travers un portail captif, ils laissent leur nom/prénom/adresse et un code daccès leur est ensuite communiqué (par mail ou par SMS). Le problème qui se pose est que nous souhaitons leur fournir des adresses ip privées. En effet, si nous recevons une réquisition de la part de la gendarmerie nous demandant lidentification dun usager à partir dune adresse IP publique, ca va être compliqué Nous serons capable de donner le groupe dutilisateurs ayant partagé cette adresse ip publique, mais sans rien mettre de plus que les loggs NAT il nous sera impossible didentifier lutilisateur recherché. Nous avons pensé mettre en place un firewall applicatif qui nous donnerait des précisions sur les sessions montées à partir des adresses privées, ce qui nous permettrait daffiner la recherche, mais il semblerait que cela ne soit pas légal. Avez-vous déjà rencontré ce type de problème et lavez-vous résolu ? (mise à part en mettant de ladressage publique bien sur :o) ) Merci pour vos retours. Sebastien
[FRnOG] Gestion Identification Usagers
Bonjour, Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est une vraie mine d'information ! Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir de réponse claire pour le moment. Je cherche à mettre en place un réseau d'accès Internet « gratuit » type WIFI où les utilisateurs ne sont pas identifiés à l'avance. Ils doivent donc faire une demande d'accès à travers un portail captif, ils laissent leur nom/prénom/adresse et un code d'accès leur est ensuite communiqué (par mail ou par SMS). Le problème qui se pose est que nous souhaitons leur fournir des adresses ip privées. En effet, si nous recevons une réquisition de la part de la gendarmerie nous demandant l'identification d'un usager à partir d'une adresse IP publique, ca va être compliqué ... Nous serons capable de donner le groupe d'utilisateurs ayant partagé cette adresse ip publique, mais sans rien mettre de plus que les loggs NAT il nous sera impossible d'identifier l'utilisateur recherché. Nous avons pensé mettre en place un firewall applicatif qui nous donnerait des précisions sur les sessions montées à partir des adresses privées, ce qui nous permettrait d'affiner la recherche, mais il semblerait que cela ne soit pas légal. Avez-vous déjà rencontré ce type de problème et l'avez-vous résolu ? (mise à part en mettant de l'adressage publique bien sur :o) ) Merci pour vos retours. Sebastien