Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Sebastien Maillet
Merci Bastien.
En fait la solution technique du portail d'authentification n'est pas tellement 
mon inquiétude, de plus je préférerais une solution OpenSource si elle existe.
Il s'agit plus de savoir quoi faire lors d'une réquisition judiciaire ciblant 
une adresse ip publique alors que nous faisons du NAT. Dans ce cas nous ne 
pourrons donner qu'un groupe d'utilisateurs et pas l'utilisateur ayant commis 
une infraction. Dans ce est ce suffisant vis a vis de la réquisition ? (Il 
semblerait que oui si j'en crois certaines reponses).

Merci :)
Sebastien


De : Bastien Migette bastien.mige...@gmail.com
À : Sebastien Maillet; frnog@FRnOG.org frnog@FRnOG.org
Envoyé : Tue Oct 04 19:39:09 2011
Objet : RE: [FRnOG] Gestion Identification Usagers

Bonjour Sebastien,

Tu as la solution Cisco Nac Guest Server, ou bien plus récemment Identity 
Service Engine, qui permets de gérer les utilisateurs de type guest et de leur 
envoyer un mot de passe via SMS/MAIL, et qui permets d’être provisionné en tant 
que base LDAP pour un server AAA comme ACS par exemple.

D’autres constructeurs ont aussi certainement ce genre de solutions, mais je 
n’en connais pas.


@+
From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of 
Sebastien Maillet
Sent: Tuesday, October 04, 2011 18:39
To: frnog@FRnOG.org
Subject: [FRnOG] Gestion Identification Usagers

Bonjour,

Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est une 
vraie mine d’information !

Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir de 
réponse claire pour le moment.
Je cherche à mettre en place un réseau d’accès Internet « gratuit » type WIFI 
où les utilisateurs ne sont pas identifiés à l’avance.
Ils doivent donc faire une demande d’accès à travers un portail captif, ils 
laissent leur nom/prénom/adresse et un code d’accès leur est ensuite communiqué 
(par mail ou par SMS).

Le problème qui se pose est que nous souhaitons leur fournir des adresses ip 
privées.
En effet, si nous recevons une réquisition de la part de la gendarmerie nous 
demandant l’identification d’un usager à partir d’une adresse IP publique, ca 
va être compliqué … Nous serons capable de donner le groupe d’utilisateurs 
ayant partagé cette adresse ip publique, mais sans rien mettre de plus que les 
loggs NAT il nous sera impossible d’identifier l’utilisateur recherché.
Nous avons pensé mettre en place un firewall applicatif qui nous donnerait des 
précisions sur les sessions montées à partir des adresses privées, ce qui nous 
permettrait d’affiner la recherche, mais il semblerait que cela ne soit pas 
légal.

Avez-vous déjà rencontré ce type de problème et l’avez-vous résolu ?
(mise à part en mettant de l’adressage publique bien sur :o) )

Merci pour vos retours.

Sebastien


Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Sebastien Maillet
Merci Christophe.
Pour l'archi globale du reseau nous avons bien concu la solution et je ne 
m'inquiete pas pour ca. Concernant le nombre d'utlisateurs max simultanes, il 
sera entre 1000 et 2000. Nous serons aussi en mesure de localiser précisément 
chaque utilisateur.
Si je reçois une réquisition a partir d'une adresse ip publique, je pourrais 
donc idemtifier tous les usagers etant nate derrière l'adresse ip publique. Il 
se peut qu'il y ait jusqu'a 100 utilisateurs ... Cela posera t il un problème 
aux autorités publiques ? Enfin pourront ils nous embeter ou bien serons nous 
en conformite ?
Merci.
Sebastien


De : Christophe ckuczyn...@gmail.com
À : Sebastien Maillet
Cc : frnog@FRnOG.org frnog@FRnOG.org
Envoyé : Tue Oct 04 20:08:37 2011
Objet : Re: [FRnOG] Gestion Identification Usagers

Salut,

il y a quand même des questions structurantes sur ce type de déploiement:

- Combien de hotspots comptes tu déployer ?
- Combien de site auront un hotspot (est ce un déploiement pour couvrir 
plusieurs jardins publiques dans une ville ou bien c'est juste un accès wifi à 
l'accueil d'une société pour les visiteurs ?)
- Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ?

etc...

Si tu utilises de l'adressage privée il te faudra au minimum logger la 
correspondance IP privée/login + date/heure au niveau portail captif, ainsi que 
IP privée/IP pub + date/heure sur l'équipement qui va faire le NAT et faire ta 
corrélation (si ce sont des équipements différents)

En terme d'obligation légale bien souvent on te donne une IP avec une heure à 
laquelle elle a commit un délit très rarement le port source, et toi tu 
devras répondre QUI et où (localisation du hotspot)...

Christophe


On 04/10/2011 18:39, Sebastien Maillet wrote:
Bonjour,

Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est une 
vraie mine d’information !

Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir de 
réponse claire pour le moment.
Je cherche à mettre en place un réseau d’accès Internet « gratuit » type WIFI 
où les utilisateurs ne sont pas identifiés à l’avance.
Ils doivent donc faire une demande d’accès à travers un portail captif, ils 
laissent leur nom/prénom/adresse et un code d’accès leur est ensuite communiqué 
(par mail ou par SMS).

Le problème qui se pose est que nous souhaitons leur fournir des adresses ip 
privées.
En effet, si nous recevons une réquisition de la part de la gendarmerie nous 
demandant l’identification d’un usager à partir d’une adresse IP publique, ca 
va être compliqué … Nous serons capable de donner le groupe d’utilisateurs 
ayant partagé cette adresse ip publique, mais sans rien mettre de plus que les 
loggs NAT il nous sera impossible d’identifier l’utilisateur recherché.
Nous avons pensé mettre en place un firewall applicatif qui nous donnerait des 
précisions sur les sessions montées à partir des adresses privées, ce qui nous 
permettrait d’affiner la recherche, mais il semblerait que cela ne soit pas 
légal.

Avez-vous déjà rencontré ce type de problème et l’avez-vous résolu ?
(mise à part en mettant de l’adressage publique bien sur :o) )

Merci pour vos retours.

Sebastien



Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Sebastien Maillet
Merci Abou.
Ca m'interesse !
Ucopia permet il de logger les ports source lors de l'operation de natage ?
Sebastien


De : abou.andi...@gmail.com abou.andi...@gmail.com
À : Christophe ckuczyn...@gmail.com
Cc : Sebastien Maillet; frnog@FRnOG.org frnog@frnog.org
Envoyé : Wed Oct 05 00:27:11 2011
Objet : Re: [FRnOG] Gestion Identification Usagers

Bonjour,

Je commence par me présenter. Je suis actuellement en dernière année d'une 
formation d'ingénieur Réseaux et Télécoms à Télécom Bretagne en alternance.
Etant sur cette mliste depuis quelques mois (depuis la journée IPV6 WG day sur 
Paris), j'apprends beaucoup de choses sur tous les plans.

Je me permets de réagir sur un sujet où j'ai des idées. J'ai déjà travaillé sur 
le matériel Ucopia.

En effet, ce produit peut répondre à ta demande. Tu peux gérer le profil des 
utilisateurs, définir les services auxquels ils ont accès (autorisations 
possibles sur une plage horaires).

Il existe 5 modèles comme nous pouvons le voir sur le tableau ci-dessous:



Tu peux avoir les journaux des évènements :
- des sessions utilisateurs : nom, prénom, @IP, heure de connexion/déconnexion, 
services autorisés...,
- du trafic, des url.
Tout ceci est stocké dans une base de données SQL et il est possible d'exporter 
les journaux.


Ce produit est bien et facile à administrer. Je ne fais pas de la pub et ne 
doute pas qu'il existe sûrement d'autres solutions qui peuvent répondre à tes 
besoins.

Espérant que cela puisse t'aider.
Bonne recherche.

Cordialement,
Abou Ndiaye

Le 4 octobre 2011 20:08, Christophe 
ckuczyn...@gmail.commailto:ckuczyn...@gmail.com a écrit :
Salut,

il y a quand même des questions structurantes sur ce type de déploiement:

- Combien de hotspots comptes tu déployer ?
- Combien de site auront un hotspot (est ce un déploiement pour couvrir 
plusieurs jardins publiques dans une ville ou bien c'est juste un accès wifi à 
l'accueil d'une société pour les visiteurs ?)
- Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ?

etc...

Si tu utilises de l'adressage privée il te faudra au minimum logger la 
correspondance IP privée/login + date/heure au niveau portail captif, ainsi que 
IP privée/IP pub + date/heure sur l'équipement qui va faire le NAT et faire ta 
corrélation (si ce sont des équipements différents)

En terme d'obligation légale bien souvent on te donne une IP avec une heure à 
laquelle elle a commit un délit très rarement le port source, et toi tu 
devras répondre QUI et où (localisation du hotspot)...

Christophe



On 04/10/2011 18:39, Sebastien Maillet wrote:
Bonjour,

Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est une 
vraie mine d’information !

Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir de 
réponse claire pour le moment.
Je cherche à mettre en place un réseau d’accès Internet « gratuit » type WIFI 
où les utilisateurs ne sont pas identifiés à l’avance.
Ils doivent donc faire une demande d’accès à travers un portail captif, ils 
laissent leur nom/prénom/adresse et un code d’accès leur est ensuite communiqué 
(par mail ou par SMS).

Le problème qui se pose est que nous souhaitons leur fournir des adresses ip 
privées.
En effet, si nous recevons une réquisition de la part de la gendarmerie nous 
demandant l’identification d’un usager à partir d’une adresse IP publique, ca 
va être compliqué … Nous serons capable de donner le groupe d’utilisateurs 
ayant partagé cette adresse ip publique, mais sans rien mettre de plus que les 
loggs NAT il nous sera impossible d’identifier l’utilisateur recherché.
Nous avons pensé mettre en place un firewall applicatif qui nous donnerait des 
précisions sur les sessions montées à partir des adresses privées, ce qui nous 
permettrait d’affiner la recherche, mais il semblerait que cela ne soit pas 
légal.

Avez-vous déjà rencontré ce type de problème et l’avez-vous résolu ?
(mise à part en mettant de l’adressage publique bien sur :o) )

Merci pour vos retours.

Sebastien




--
Cordialement,

Abou NDIAYE
Apprenti Télécom Bretagne
Formation d'Ingénieur en Partenariat
abou.ndi...@telecom-bretagne.eumailto:abou.ndi...@telecom-bretagne.eu



Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Sebastien Maillet
Merci Pascal.
Donc en résumé un simple log ip/user/quand suffit vis a vis de autorités. 
Même si lors d'une requisition nous leur communiquons une liste de 50 
utilisateurs ?
Aussi, nous limiterons les acces a http/https.

Sebastien

- Message d'origine -
De : syru...@gmail.com syru...@gmail.com
À : Sebastien Maillet
Cc : frnog@FRnOG.org frnog@frnog.org
Envoyé : Wed Oct 05 06:09:51 2011
Objet : Re: [FRnOG] Gestion Identification Usagers

Le 4 octobre 2011 18:39, Sebastien Maillet
sebastien.mail...@covage.com a écrit :
 Bonjour,

 Je cherche à mettre en place un réseau d’accès Internet « gratuit » type
 WIFI où les utilisateurs ne sont pas identifiés à l’avance.

 Ils doivent donc faire une demande d’accès à travers un portail captif, ils
 laissent leur nom/prénom/adresse et un code d’accès leur est ensuite
 communiqué (par mail ou par SMS).

La solution sms est la meilleure car les opérateurs de téléphonie mobile
ont la vraie identité dans la plus part des cas, sauf des cartes prépayées
réglées en espèces, oui oui c'est possible, mais cela n'est plus ton problème.

Le mail aussi, mais après si la personne remplit de fausses infos, c'est aussi
le problème de la personne qui fait une fausse déclaration.
Ici à FFW, dans le formulaire, il y a une certification sur l'honneur
de l'exactitude
des infos.

 Le problème qui se pose est que nous souhaitons leur fournir des adresses ip
 privées.

Tout est dit :)

En effet, en mode NAT, il va être nécessaire de logguer plus que les sessions
mais aussi les usages, restreindre les usages, ex: laisser que
http/https et logguer
cela.
Cette technique nous gène à FFW car même si le log n'est regardé que
lors de demandes,
cela est une intrusion dans la vie privée des utilisateurs.
Nous avons juste besoin de savoir où a été l'utilisateur, et non pas
ce qu'il a fait.
C'est pour cela que nous expérimentons actuellement et cela depuis
presque 6 mois
l'usage d'ip publiques pour les nomades en wifi. Ils s'identifient
toujours sur le portail
captif, mais seul le log ip/user/quand nous suffit et convient très
bien en cas de
requêtes.

Cdt,

--
Pascal Rullier
Fédération France Wireless
.+-yם*'v�Q�ᡶ��0~�肊�

Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Raphaël Jacquot

On 5 oct. 2011, at 08:46, Sebastien Maillet wrote:

 Merci Pascal.
 Donc en résumé un simple log ip/user/quand suffit vis a vis de autorités. 
 Même si lors d'une requisition nous leur communiquons une liste de 50 
 utilisateurs ?

oui

 Aussi, nous limiterons les acces a http/https.

et l'admin réseau qu'a besoin de ssh, la tout de suite ou maintenant ??
il doit d'abord monter un http tunnel ??

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Sebastien Maillet
Ok, merci Julien.
Ca me rassure, a priori pas besoin de mettre de solution trop intrusive alors.
Sebastien


De : julien bonnaud julien.bonn...@clermont-universite.fr
À : Sebastien Maillet
Cc : 'ckuczyn...@gmail.com' ckuczyn...@gmail.com; 'frnog@FRnOG.org' 
frnog@FRnOG.org
Envoyé : Wed Oct 05 08:45:54 2011
Objet : Re: [FRnOG] Gestion Identification Usagers

Bonjour Sébastien,

Pour les solution libre il y a Kanet qui a l'air intéressant car très flexible.
Pour les autorités je ne pense pas que ça soit bloquant, nous avons déjà eu le 
cas est nous n'avons pas été embêté.

++
Julien
Le 5 oct. 2011 à 08:34, Sebastien Maillet a écrit :

Merci Christophe.
Pour l'archi globale du reseau nous avons bien concu la solution et je ne 
m'inquiete pas pour ca. Concernant le nombre d'utlisateurs max simultanes, il 
sera entre 1000 et 2000. Nous serons aussi en mesure de localiser précisément 
chaque utilisateur.
Si je reçois une réquisition a partir d'une adresse ip publique, je pourrais 
donc idemtifier tous les usagers etant nate derrière l'adresse ip publique. Il 
se peut qu'il y ait jusqu'a 100 utilisateurs ... Cela posera t il un problème 
aux autorités publiques ? Enfin pourront ils nous embeter ou bien serons nous 
en conformite ?
Merci.
Sebastien


De : Christophe ckuczyn...@gmail.commailto:ckuczyn...@gmail.com
À : Sebastien Maillet
Cc : frnog@FRnOG.orgmailto:frnog@FRnOG.org 
frnog@FRnOG.orgmailto:frnog@FRnOG.org
Envoyé : Tue Oct 04 20:08:37 2011
Objet : Re: [FRnOG] Gestion Identification Usagers

Salut,

il y a quand même des questions structurantes sur ce type de déploiement:

- Combien de hotspots comptes tu déployer ?
- Combien de site auront un hotspot (est ce un déploiement pour couvrir 
plusieurs jardins publiques dans une ville ou bien c'est juste un accès wifi à 
l'accueil d'une société pour les visiteurs ?)
- Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ?

etc...

Si tu utilises de l'adressage privée il te faudra au minimum logger la 
correspondance IP privée/login + date/heure au niveau portail captif, ainsi que 
IP privée/IP pub + date/heure sur l'équipement qui va faire le NAT et faire ta 
corrélation (si ce sont des équipements différents)

En terme d'obligation légale bien souvent on te donne une IP avec une heure à 
laquelle elle a commit un délit très rarement le port source, et toi tu 
devras répondre QUI et où (localisation du hotspot)...

Christophe


On 04/10/2011 18:39, Sebastien Maillet wrote:
Bonjour,

Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est une 
vraie mine d’information !

Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir de 
réponse claire pour le moment.
Je cherche à mettre en place un réseau d’accès Internet « gratuit » type WIFI 
où les utilisateurs ne sont pas identifiés à l’avance.
Ils doivent donc faire une demande d’accès à travers un portail captif, ils 
laissent leur nom/prénom/adresse et un code d’accès leur est ensuite communiqué 
(par mail ou par SMS).

Le problème qui se pose est que nous souhaitons leur fournir des adresses ip 
privées.
En effet, si nous recevons une réquisition de la part de la gendarmerie nous 
demandant l’identification d’un usager à partir d’une adresse IP publique, ca 
va être compliqué … Nous serons capable de donner le groupe d’utilisateurs 
ayant partagé cette adresse ip publique, mais sans rien mettre de plus que les 
loggs NAT il nous sera impossible d’identifier l’utilisateur recherché.
Nous avons pensé mettre en place un firewall applicatif qui nous donnerait des 
précisions sur les sessions montées à partir des adresses privées, ce qui nous 
permettrait d’affiner la recherche, mais il semblerait que cela ne soit pas 
légal.

Avez-vous déjà rencontré ce type de problème et l’avez-vous résolu ?
(mise à part en mettant de l’adressage publique bien sur :o) )

Merci pour vos retours.

Sebastien




Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Sebastien Maillet
Nous avons un acces inband decorelle de l'acces publique, donc a priori pas de 
problème pour limiter en http/https


- Message d'origine -
De : Raphaël Jacquot sxp...@sxpert.org
À : Sebastien Maillet
Cc : Liste FRnoG frnog@FRnOG.org
Envoyé : Wed Oct 05 08:48:51 2011
Objet : Re: [FRnOG] Gestion Identification Usagers


On 5 oct. 2011, at 08:46, Sebastien Maillet wrote:

 Merci Pascal.
 Donc en résumé un simple log ip/user/quand suffit vis a vis de autorités. 
 Même si lors d'une requisition nous leur communiquons une liste de 50 
 utilisateurs ?

oui

 Aussi, nous limiterons les acces a http/https.

et l'admin réseau qu'a besoin de ssh, la tout de suite ou maintenant ??
il doit d'abord monter un http tunnel ??

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet julien bonnaud
Bonjour Sébastien,

Pour les solution libre il y a Kanet qui a l'air intéressant car très flexible.
Pour les autorités je ne pense pas que ça soit bloquant, nous avons déjà eu le 
cas est nous n'avons pas été embêté. 

++
Julien
Le 5 oct. 2011 à 08:34, Sebastien Maillet a écrit :

 Merci Christophe.
 Pour l'archi globale du reseau nous avons bien concu la solution et je ne 
 m'inquiete pas pour ca. Concernant le nombre d'utlisateurs max simultanes, il 
 sera entre 1000 et 2000. Nous serons aussi en mesure de localiser précisément 
 chaque utilisateur. 
 Si je reçois une réquisition a partir d'une adresse ip publique, je pourrais 
 donc idemtifier tous les usagers etant nate derrière l'adresse ip publique. 
 Il se peut qu'il y ait jusqu'a 100 utilisateurs ... Cela posera t il un 
 problème aux autorités publiques ? Enfin pourront ils nous embeter ou bien 
 serons nous en conformite ?
 Merci.
 Sebastien
 
 De : Christophe ckuczyn...@gmail.com 
 À : Sebastien Maillet 
 Cc : frnog@FRnOG.org frnog@FRnOG.org 
 Envoyé : Tue Oct 04 20:08:37 2011
 Objet : Re: [FRnOG] Gestion Identification Usagers 
 
 Salut,
 
 il y a quand même des questions structurantes sur ce type de déploiement:
 
 - Combien de hotspots comptes tu déployer ?
 - Combien de site auront un hotspot (est ce un déploiement pour couvrir 
 plusieurs jardins publiques dans une ville ou bien c'est juste un accès wifi 
 à l'accueil d'une société pour les visiteurs ?)
 - Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ?
 
 etc...
 
 Si tu utilises de l'adressage privée il te faudra au minimum logger la 
 correspondance IP privée/login + date/heure au niveau portail captif, ainsi 
 que IP privée/IP pub + date/heure sur l'équipement qui va faire le NAT et 
 faire ta corrélation (si ce sont des équipements différents)
 
 En terme d'obligation légale bien souvent on te donne une IP avec une heure à 
 laquelle elle a commit un délit très rarement le port source, et toi tu 
 devras répondre QUI et où (localisation du hotspot)...
 
 Christophe
 
 
 On 04/10/2011 18:39, Sebastien Maillet wrote:
 
 Bonjour,
  
 Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est 
 une vraie mine d’information !
  
 Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir de 
 réponse claire pour le moment.
 Je cherche à mettre en place un réseau d’accès Internet « gratuit » type 
 WIFI où les utilisateurs ne sont pas identifiés à l’avance.
 Ils doivent donc faire une demande d’accès à travers un portail captif, ils 
 laissent leur nom/prénom/adresse et un code d’accès leur est ensuite 
 communiqué (par mail ou par SMS).
  
 Le problème qui se pose est que nous souhaitons leur fournir des adresses ip 
 privées.
 En effet, si nous recevons une réquisition de la part de la gendarmerie nous 
 demandant l’identification d’un usager à partir d’une adresse IP publique, 
 ca va être compliqué … Nous serons capable de donner le groupe 
 d’utilisateurs ayant partagé cette adresse ip publique, mais sans rien 
 mettre de plus que les loggs NAT il nous sera impossible d’identifier 
 l’utilisateur recherché.
 Nous avons pensé mettre en place un firewall applicatif qui nous donnerait 
 des précisions sur les sessions montées à partir des adresses privées, ce 
 qui nous permettrait d’affiner la recherche, mais il semblerait que cela ne 
 soit pas légal.
  
 Avez-vous déjà rencontré ce type de problème et l’avez-vous résolu ?  
 (mise à part en mettant de l’adressage publique bien sur :o) )
  
 Merci pour vos retours.
  
 Sebastien
 



Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Raphaël Jacquot

On 5 oct. 2011, at 08:52, Sebastien Maillet wrote:

 Nous avons un acces inband decorelle de l'acces publique, donc a priori pas 
 de problème pour limiter en http/https

je parlais pas de *votre* accès, mais de celui d'une personne passant par la 
qui a un besoin impérieux de ssh
apres, le gars il peut avoir besoin de sip, de skype (c'est ptet un mauvais 
exemple), de snmp, de  … que sais-je !

 
 - Message d'origine -
 De : Raphaël Jacquot sxp...@sxpert.org
 À : Sebastien Maillet
 Cc : Liste FRnoG frnog@FRnOG.org
 Envoyé : Wed Oct 05 08:48:51 2011
 Objet : Re: [FRnOG] Gestion Identification Usagers
 
 
 On 5 oct. 2011, at 08:46, Sebastien Maillet wrote:
 
 Merci Pascal.
 Donc en résumé un simple log ip/user/quand suffit vis a vis de autorités. 
 Même si lors d'une requisition nous leur communiquons une liste de 50 
 utilisateurs ?
 
 oui
 
 Aussi, nous limiterons les acces a http/https.
 
 et l'admin réseau qu'a besoin de ssh, la tout de suite ou maintenant ??
 il doit d'abord monter un http tunnel ??
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Raphael MAUNIER
On parle d'un accès gratuit, hein :)

Tu ne veux pas aussi un accès gratuit aux chaines payantes et PPV,
livraison gratuite de pizza ?

Ou pourrait aussi demander un compte SIP gratos avec appel gratuit jusque
sur la Lune ?

Sinon Sebastien, de mémoire Ucopia a une certification a la con qui fait
que c'est super simple de discuter avec les instances légale s'ils te
demandent les logs.

C'est ce que l'on met en place sur notre Wifi qui est disponible partout
ou on a des salles ou des baies. Pour la montée en charge, aucune idée,
pour nous c'est pas pour un usage de ce type, on parle de maximum 50 cnx

Voila
-- 
Raphaël Maunier
NEO TELECOMS
CTO / Directeur Ingénierie
AS8218







On 10/5/11 8:53 AM, Raphaël Jacquot sxp...@sxpert.org wrote:


On 5 oct. 2011, at 08:52, Sebastien Maillet wrote:

 Nous avons un acces inband decorelle de l'acces publique, donc a priori
pas de problème pour limiter en http/https

je parlais pas de *votre* accès, mais de celui d'une personne passant par
la qui a un besoin impérieux de ssh
apres, le gars il peut avoir besoin de sip, de skype (c'est ptet un
mauvais exemple), de snmp, de  Š que sais-je !

 
 - Message d'origine -
 De : Raphaël Jacquot sxp...@sxpert.org
 À : Sebastien Maillet
 Cc : Liste FRnoG frnog@FRnOG.org
 Envoyé : Wed Oct 05 08:48:51 2011
 Objet : Re: [FRnOG] Gestion Identification Usagers
 
 
 On 5 oct. 2011, at 08:46, Sebastien Maillet wrote:
 
 Merci Pascal.
 Donc en résumé un simple log ip/user/quand suffit vis a vis de
autorités. Même si lors d'une requisition nous leur communiquons une
liste de 50 utilisateurs ?
 
 oui
 
 Aussi, nous limiterons les acces a http/https.
 
 et l'admin réseau qu'a besoin de ssh, la tout de suite ou maintenant ??
 il doit d'abord monter un http tunnel ??
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Raphaël Jacquot

On 5 oct. 2011, at 09:18, Raphael MAUNIER wrote:

 
 Ou pourrait aussi demander un compte SIP gratos avec appel gratuit jusque
 sur la Lune ?

qui a parlé d'un SIP gratos ?
le mec qui se paye un accès SIP chez XYZ, pourquoi ne pourrait il pas 
l'utiliser à partir de cet accès ?

 Sinon Sebastien, de mémoire Ucopia a une certification a la con qui fait
 que c'est super simple de discuter avec les instances légale s'ils te
 demandent les logs.

aux dernières nouvelles ça n'existe pas ça. les instances légales ne savent pas 
se servir de whois, et demandent au tenancier du lieu qui fournit la solution...

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Rémi Bouhl

Le 05/10/2011 09:18, Raphael MAUNIER a écrit :


On parle d'un accès gratuit, hein :)

Tu ne veux pas aussi un accès gratuit aux chaines payantes et PPV,
livraison gratuite de pizza ?

Ou pourrait aussi demander un compte SIP gratos avec appel gratuit jusque
sur la Lune ?




Tant que c'est pas marqué Internet dessus ;)

http://www.bortzmeyer.org/4084.html
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Raphael MAUNIER

On 10/5/11 9:30 AM, Raphaël Jacquot sxp...@sxpert.org wrote:


On 5 oct. 2011, at 09:18, Raphael MAUNIER wrote:

 
 Ou pourrait aussi demander un compte SIP gratos avec appel gratuit
jusque
 sur la Lune ?

qui a parlé d'un SIP gratos ?
le mec qui se paye un accès SIP chez XYZ, pourquoi ne pourrait il pas
l'utiliser à partir de cet accès ?

C'est pas grave, t'as pas l'air de comprendre le non débat :)


 Sinon Sebastien, de mémoire Ucopia a une certification a la con qui
fait
 que c'est super simple de discuter avec les instances légale s'ils te
 demandent les logs.

aux dernières nouvelles ça n'existe pas ça. les instances légales ne
savent pas se servir de whois, et demandent au tenancier du lieu qui
fournit la solution...

Faux, pas plus loin que la semaine dernière, les mecs avaient regardé sur
le ripe et m'avaient contacté pour vérifier les infos. Et ils avaient déjà
le nom du client final.

Pour les logs, c'est la certification machin bidule sur la tracabilité (
directive Européenne avec tout plein de chiffres )



---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet MM
Bonjour,


Le mieux est d'appeler l'OCLCTIC - qui pourra répondre à vos questions.
O.C.L.T.I.C
101 rue des Trois Fontanot
92000 Nanterre
Tél : 01.49.27.49.27

La dernière fois que je l'ai fait - pour un petit hotel - ils m'avaient 
confirmé que nous devions être en mesure d'identifier la personne se connectant 
sur un site en fonction d'une heure et d'une adresse IP. Et en me précisant les 
peines encourues.
Lorsque je lui ai demandé comment ils faisaient pour les McDO - et quelles 
avaient été les peines qu'ils avaient encourues - j'ai juste eu comme réponse 
que leurs installations n'étaient pas conformes (C'était un bon exemple, 
l'affaire de la rumeur sur un des blogs Jdd sur Sarko/Jouano/Biolay avait 
poussé les enquêteurs à chercher l'identité d'une personne étant intervenu 
depuis le McDO des Champs Elysées - ils ont depuis arrêté l'enquête...).

N'hésitez pas à poster le retour qu'ils vous feront :)


Mathieu


Le 5 oct. 2011 à 08:23, Sebastien Maillet a écrit :

 Merci Bastien.
 En fait la solution technique du portail d'authentification n'est pas 
 tellement mon inquiétude, de plus je préférerais une solution OpenSource si 
 elle existe. 
 Il s'agit plus de savoir quoi faire lors d'une réquisition judiciaire ciblant 
 une adresse ip publique alors que nous faisons du NAT. Dans ce cas nous ne 
 pourrons donner qu'un groupe d'utilisateurs et pas l'utilisateur ayant commis 
 une infraction. Dans ce est ce suffisant vis a vis de la réquisition ? (Il 
 semblerait que oui si j'en crois certaines reponses).
 
 Merci :)
 Sebastien
 
 



Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Martin Lathoud
Le 5 octobre 2011 09:34, Raphael MAUNIER rmaun...@neotelecoms.com a écrit :
 Pour les logs, c'est la certification machin bidule sur la tracabilité (
 directive Européenne avec tout plein de chiffres )

Par curiosité, qui conserve les logs d'accès web des usagers internes
de sa boite, pendant un an si ma mémoire est bonne?
Et qui encourt quel risque si ce n'est pas fait?

merci,
Martin.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Sebastien Maillet
Bonjour,
Merci pour ce retour. Je vais les appeler et voir ce qu'ils me repondent. Je 
posterai la synthese de l'echange.
Sebastien


De : MM mm...@palpix.com
À : Sebastien Maillet
Cc : 'bastien.mige...@gmail.com' bastien.mige...@gmail.com; 'frnog@FRnOG.org' 
frnog@FRnOG.org
Envoyé : Wed Oct 05 09:46:57 2011
Objet : Re: [FRnOG] Gestion Identification Usagers

Bonjour,


Le mieux est d'appeler l'OCLCTIC - qui pourra répondre à vos questions.
O.C.L.T.I.C
101 rue des Trois Fontanot
92000 Nanterre
Tél : 01.49.27.49.27

La dernière fois que je l'ai fait - pour un petit hotel - ils m'avaient 
confirmé que nous devions être en mesure d'identifier la personne se connectant 
sur un site en fonction d'une heure et d'une adresse IP. Et en me précisant les 
peines encourues.
Lorsque je lui ai demandé comment ils faisaient pour les McDO - et quelles 
avaient été les peines qu'ils avaient encourues - j'ai juste eu comme réponse 
que leurs installations n'étaient pas conformes (C'était un bon exemple, 
l'affaire de la rumeur sur un des blogs Jdd sur Sarko/Jouano/Biolay avait 
poussé les enquêteurs à chercher l'identité d'une personne étant intervenu 
depuis le McDO des Champs Elysées - ils ont depuis arrêté l'enquête...).

N'hésitez pas à poster le retour qu'ils vous feront :)


Mathieu


Le 5 oct. 2011 à 08:23, Sebastien Maillet a écrit :

Merci Bastien.
En fait la solution technique du portail d'authentification n'est pas tellement 
mon inquiétude, de plus je préférerais une solution OpenSource si elle existe.
Il s'agit plus de savoir quoi faire lors d'une réquisition judiciaire ciblant 
une adresse ip publique alors que nous faisons du NAT. Dans ce cas nous ne 
pourrons donner qu'un groupe d'utilisateurs et pas l'utilisateur ayant commis 
une infraction. Dans ce est ce suffisant vis a vis de la réquisition ? (Il 
semblerait que oui si j'en crois certaines reponses).

Merci :)
Sebastien





Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Radu-Adrian Feurdean

On Wed, 5 Oct 2011 08:48:51 +0200, Raphaël Jacquot
sxp...@sxpert.org said:

  Aussi, nous limiterons les acces a http/https.
 
 et l'admin réseau qu'a besoin de ssh, la tout de suite ou maintenant ??
 il doit d'abord monter un http tunnel ??

L'admin reseau on s'en fout magistralement.
Par contre le PDG qui veut demarrer son client VPN pour lire ses
e-mails.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Gestion Identification Usagers

2011-10-05 Par sujet Alexandre Archambault

Le 5 oct. 2011 à 09:49, Martin Lathoud a écrit :

 Pour les logs, c'est la certification machin bidule sur la tracabilité (
 directive Européenne avec tout plein de chiffres )
 
 Par curiosité, qui conserve les logs d'accès web des usagers internes
 de sa boite, pendant un an si ma mémoire est bonne?
 Et qui encourt quel risque si ce n'est pas fait?

Une nouvelle fois, attention à bien distinguer entre réseau ouvert au public 
(schématiquement, tout ce qui a été déclaré à l'ARCEP) et groupe fermé 
d'utilisateur (typiquement un LAN d'une entreprise). Attention, la 
mutualisation citoyenne de connexion Internet relève (car interconnexion 
indirecte avec le reste du monde) du premier cas (et emporte les obligations 
associées, et oui, opérateur ce n'est pas qu'un droit cela emporte également 
des devoirs), et est susceptible de déboucher sur les sanctions prévues en cas 
de non déclaration (1 an et 75 000 euros d'amende).

Les obligations de logs portent principalement sur les réseaux ouverts au 
publics qui sont tenus d'être en mesure d'identifier tout utilisateur se 
connectant (donc en cas de NAT, il faut être en mesure d'identifier 
l'utilisateur). Et à ce jour, la localisation précise de l'abonné final ne vaut 
que pour le service de téléphonie (R.10-13 CPCE).

--
Alec,




---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Gestion Identification Usagers

2011-10-04 Par sujet Christophe

Salut,

il y a quand même des questions structurantes sur ce type de déploiement:

- Combien de hotspots comptes tu déployer ?
- Combien de site auront un hotspot (est ce un déploiement pour couvrir 
plusieurs jardins publiques dans une ville ou bien c'est juste un accès 
wifi à l'accueil d'une société pour les visiteurs ?)

- Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ?

etc...

Si tu utilises de l'adressage privée il te faudra au minimum logger la 
correspondance IP privée/login + date/heure au niveau portail captif, 
ainsi que IP privée/IP pub + date/heure sur l'équipement qui va faire le 
NAT et faire ta corrélation (si ce sont des équipements différents)


En terme d'obligation légale bien souvent on te donne une IP avec une 
heure à laquelle elle a commit un délit très rarement le port source, 
et toi tu devras répondre QUI et où (localisation du hotspot)...


Christophe


On 04/10/2011 18:39, Sebastien Maillet wrote:


Bonjour,

Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui 
est une vraie mine d'information !


Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à 
avoir de réponse claire pour le moment.


Je cherche à mettre en place un réseau d'accès Internet « gratuit » 
type WIFI où les utilisateurs ne sont pas identifiés à l'avance.


Ils doivent donc faire une demande d'accès à travers un portail 
captif, ils laissent leur nom/prénom/adresse et un code d'accès leur 
est ensuite communiqué (par mail ou par SMS).


Le problème qui se pose est que nous souhaitons leur fournir des 
adresses ip privées.


En effet, si nous recevons une réquisition de la part de la 
gendarmerie nous demandant l'identification d'un usager à partir d'une 
adresse IP publique, ca va être compliqué ... Nous serons capable de 
donner le groupe d'utilisateurs ayant partagé cette adresse ip 
publique, mais sans rien mettre de plus que les loggs NAT il nous sera 
impossible d'identifier l'utilisateur recherché.


Nous avons pensé mettre en place un firewall applicatif qui nous 
donnerait des précisions sur les sessions montées à partir des 
adresses privées, ce qui nous permettrait d'affiner la recherche, mais 
il semblerait que cela ne soit pas légal.


Avez-vous déjà rencontré ce type de problème et l'avez-vous résolu ?

(mise à part en mettant de l'adressage publique bien sur :o) )

Merci pour vos retours.

Sebastien





Re: [FRnOG] Gestion Identification Usagers

2011-10-04 Par sujet Guillaume Barrot
Hello,

Si tu as un portail captif, et peu de trafic, l’idéal est d'avoir une boite
clef en main qui fera portail captif + passerelle vers Internet + dhcp sur
ton LAN.
Ex OpenSource : pfsense fait ça très bien, et pour le coup sur
la même machine tu auras les logs authentification + dhcp + nat
sans problèmes d'horodatage de logs.
Si tu pars sur des briques dédiées pour chaque rôle, n'oublie pas le ntp et
un bon syslog (voire du splunk, si tu as peu de volumetrie de logs).

Tu peux avoir a logguer les requêtes DNS aussi, pour lier une
connexion spécifique a des sites hébergés sur la même @IP, mais la il faut
soit que tu proxifies les requêtes DNS, soit que tu filtres les requêtes DNS
sortantes, pour être sur d'avoir la visibilité de toutes les requêtes DNS
(c'est moche, et même pas sur que ce soit légal, mais bon tant que
les réquisitions judiciaires n'iront pas plus loin que c'est cette @IP
publique qui a fait quelque chose d’illégal, a telle heure, faudra ruser).

Et la tu as le droit de te dire vivement l'ipv6 !

Pour faire le lien avec un autre sujet en cours sur FRnOG : si tu vises peu
de clients simultanés (1000 typiquement), tu peux aussi
regarder l’intérêt de devenir LIR au RIPE, et obtenir tes scopes IPv4
publiques (/22 minimum a priori, mais je laisse les experts sur ce sujet
commenter).

Sur le portail captif, la bonne approche : l'envoi de SMS pour se connecter.
(Je crois me souvenir d'un thread précédent, que l’aéroport de Pau utilise
une solution de ce type la, mais sur la personne qui avait envoye cette info
peut se manifester pour confirmer, ça sera mieux !)
Tu as une correspondance @IP Privée / numéro de téléphone, et tu peux botter
en touche chez les opérateurs de téléphonie mobile pour retrouver la
personne réelle.
Et ça, botter en touche chez les opérateurs de téléphonie mobile, ça n'a pas
de prix ! :D

Bonne soirée

Guillaume

Le 4 octobre 2011 20:08, Christophe ckuczyn...@gmail.com a écrit :

 **
 Salut,

 il y a quand même des questions structurantes sur ce type de déploiement:

 - Combien de hotspots comptes tu déployer ?
 - Combien de site auront un hotspot (est ce un déploiement pour couvrir
 plusieurs jardins publiques dans une ville ou bien c'est juste un accès wifi
 à l'accueil d'une société pour les visiteurs ?)
 - Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ?

 etc...

 Si tu utilises de l'adressage privée il te faudra au minimum logger la
 correspondance IP privée/login + date/heure au niveau portail captif, ainsi
 que IP privée/IP pub + date/heure sur l'équipement qui va faire le NAT et
 faire ta corrélation (si ce sont des équipements différents)

 En terme d'obligation légale bien souvent on te donne une IP avec une heure
 à laquelle elle a commit un délit très rarement le port source, et toi tu
 devras répondre QUI et où (localisation du hotspot)...

 Christophe



 On 04/10/2011 18:39, Sebastien Maillet wrote:

  Bonjour, 

 ** **

 Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est
 une vraie mine d’information !

 ** **

 Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir
 de réponse claire pour le moment.

 Je cherche à mettre en place un réseau d’accès Internet « gratuit » type
 WIFI où les utilisateurs ne sont pas identifiés à l’avance. 

 Ils doivent donc faire une demande d’accès à travers un portail captif, ils
 laissent leur nom/prénom/adresse et un code d’accès leur est ensuite
 communiqué (par mail ou par SMS).

 ** **

 Le problème qui se pose est que nous souhaitons leur fournir des adresses
 ip privées.

 En effet, si nous recevons une réquisition de la part de la gendarmerie
 nous demandant l’identification d’un usager à partir d’une adresse IP
 publique, ca va être compliqué … Nous serons capable de donner le groupe
 d’utilisateurs ayant partagé cette adresse ip publique, mais sans rien
 mettre de plus que les loggs NAT il nous sera impossible d’identifier
 l’utilisateur recherché. 

 Nous avons pensé mettre en place un firewall applicatif qui nous donnerait
 des précisions sur les sessions montées à partir des adresses privées, ce
 qui nous permettrait d’affiner la recherche, mais il semblerait que cela ne
 soit pas légal.

 ** **

 Avez-vous déjà rencontré ce type de problème et l’avez-vous résolu ?  

 (mise à part en mettant de l’adressage publique bien sur :o) )

 ** **

 Merci pour vos retours.

 ** **

 Sebastien





-- 
Cordialement,

Guillaume BARROT


Re: [FRnOG] Gestion Identification Usagers

2011-10-04 Par sujet Pascal Rullier
Le 4 octobre 2011 18:39, Sebastien Maillet
sebastien.mail...@covage.com a écrit :
 Bonjour,

 Je cherche à mettre en place un réseau d’accès Internet « gratuit » type
 WIFI où les utilisateurs ne sont pas identifiés à l’avance.

 Ils doivent donc faire une demande d’accès à travers un portail captif, ils
 laissent leur nom/prénom/adresse et un code d’accès leur est ensuite
 communiqué (par mail ou par SMS).

La solution sms est la meilleure car les opérateurs de téléphonie mobile
ont la vraie identité dans la plus part des cas, sauf des cartes prépayées
réglées en espèces, oui oui c'est possible, mais cela n'est plus ton problème.

Le mail aussi, mais après si la personne remplit de fausses infos, c'est aussi
le problème de la personne qui fait une fausse déclaration.
Ici à FFW, dans le formulaire, il y a une certification sur l'honneur
de l'exactitude
des infos.

 Le problème qui se pose est que nous souhaitons leur fournir des adresses ip
 privées.

Tout est dit :)

En effet, en mode NAT, il va être nécessaire de logguer plus que les sessions
mais aussi les usages, restreindre les usages, ex: laisser que
http/https et logguer
cela.
Cette technique nous gène à FFW car même si le log n'est regardé que
lors de demandes,
cela est une intrusion dans la vie privée des utilisateurs.
Nous avons juste besoin de savoir où a été l'utilisateur, et non pas
ce qu'il a fait.
C'est pour cela que nous expérimentons actuellement et cela depuis
presque 6 mois
l'usage d'ip publiques pour les nomades en wifi. Ils s'identifient
toujours sur le portail
captif, mais seul le log ip/user/quand nous suffit et convient très
bien en cas de
requêtes.

Cdt,

--
Pascal Rullier
Fédération France Wireless
---
Liste de diffusion du FRnOG
http://www.frnog.org/