Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Portail captif centralisé?

    Français
    2
    5
    2.2k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      Energist
      last edited by

      Bonjour tout le monde!

      Je vous préviens je suis novice dans le domaine des portails captifs et c'est pourquoi j'ai besoin de vos lumières.  ;D

      L'entreprise dans laquelle je travail possède un réseau MPLS (WAN privé) qui lui permet d'interconnecter ses différents sites en France. Chacun des sites possédant un hotspot qui permet aux employés de se connecter à internet.

      http://imageshack.us/photo/my-images/268/reseauf.jpg/

      J'ai pour objectif de mettre en place un portail captif pour chacun des sites, afin que chaque utilisateur souhaitant accéder à internet via le hotspot soit redirigé vers la page du portail captif (sur laquelle l'utilisateur a juste besoin de valider les conditions). Sachant que la page du portail captif doit être personnalisée (donc différente) pour chaque site.

      Je pensais à la solution PFSense, mais je ne peux pas installer un PFsense sur chacun des sites (question de coûts car nombreux sites).

      Je me demandais donc s'il était possible d'avoir un seul PFSense installé dans le réseau MPLS et que tous les utilisateurs des hotspots des sites soit redirigés vers ce PFSense centralisé? Le PFSense devant retourner la page correspondant au bon site à l'utilisateur.
      Par ailleurs au regard de la loi comment grâce à PFSsense garder des traces des IP, MAC et sites visités de chaque utilisateurs?

      Merci d'avance pour votre aide, je sais que le sujet n'est pas forcément évident à comprendre! ;)

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Compte tenu du besoin tel qu'exprimé, ce n'est pas d'un portail captif dont vous avez besoin mais d'un proxy authentifiant avec une bonne gestion des logs de connexion.

        Par ailleurs au regard de la loi comment grâce à PFSsense garder des traces des IP, MAC et sites visités de chaque utilisateurs?

        Je ne crois que ce soit ce qu'elle demande (ip, mac). Il découle de la jurisprudence que l'entreprise mettant à disposition un accès internet est assimilée à un FAI. Ce qui implique, outre la conservation des données de connexion pendant une année, et pour pouvoir dégager sa responsabilité en cas de délit, que l'entreprise puisse identifier quel individu accède à quelle url. Ce qui est assez sensiblement différent de ce que vous exposer. On doit pouvoir identifier un individu et non une machine. Les critères de l'adresse ip comme de l'adresse mac sont des éléments assez fragiles pour identifier un utilisateur. Comprenez par là irrecevables.

        1 Reply Last reply Reply Quote 0
        • E
          Energist
          last edited by

          Merci pour ta réponse.

          N'importe qui doit pouvoir accéder à internet via le portail captif (pas forcément des employés). Dans mes besoins aucune authentification ne doit être mise en place, seulement une validation des conditions d'utilisation. Comment suis-je donc censé connaitre quel individu a accédé à quelle URL si l'IP et la MAC ne sont pas recevables en cas de délit?

          J'imagine donc que le proxy authentifiant ne sert à rien si je ne met pas en place d'authentification. Autrement, est-ce que l'architecture que j'ai proposé précédemment est possible? Si non, auriez vous quelques pistes pour m'aider à solutionner mon problème?

          Je vous remercie d'avance pour votre aide.

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            L’expression complète du besoin fonctionnel d'abord permet quand même d'y voir plus clair.

            N'importe qui doit pouvoir accéder à internet via le portail captif (pas forcément des employés).

            Je ne saurais trop vous conseiller de séparer les deux. A la fois pour des raisons de sécurité de votre réseau, de vos ressources et pour des raisons juridiques.
            Le représentant légal de votre entité est pénalement (Art 323-6) et civilement (Art 1383) responsable en ce qui concerne les employés.
            Civilement l'abus de fonction est une possibilité d'exonération de responsabilité, encore faut il le prouver, d'où l'utilité de l'authentification des accès des salariés. En ce cas le représentant légal ou son délégataire (DSI pas exemple) sont protégés.
            les conditions d'usage selon qu'il s'agit d'un salarié ou non sont différentes, les possibilités d'exonération de cette responsabilité le seront aussi. Ce qui implique des moyens différents pour y parvenir.

            Comment suis-je donc censé connaitre quel individu a accédé à quelle URL si l'IP et la MAC ne sont pas recevables en cas de délit?

            En utilisant une identification qui est propre à chaque individu. Un exemple : dans une chaine d'hôtel un identifiant est fourni à chaque client sous la forme d'une chaine de caractères qui concatène numéro de chambre, date et un élément aléatoire. On sait quel client a fait quoi, ceci sans que l'on se soucie de son adresse ip ou mac. Comment envisageriez vous de retrouver le propriétaire d'un PC dont vous connaissez l'adresse mac alors que celui ci est à l'origine d'actions délictuelles ? On voit bien que c'est impossible.

            J'imagine donc que le proxy authentifiant ne sert à rien si je ne met pas en place d'authentification.

            Oui. J'ajoute que les utilisateurs doivent avoir formellement connaissance de l'enregistrement des opération réalisées. Dans le cas contraire cela ne sert à rien non plus.

            Autrement, est-ce que l'architecture que j'ai proposé précédemment est possible?

            Probablement mais elle ne sert à rien. Du moins pas à atteindre vos objectifs fonctionnels qui eux sont fondés.

            Si non, auriez vous quelques pistes pour m'aider à solutionner mon problème?

            Partir de votre besoin. En tirer les conséquences. Et ensuite seulement choisir des solutions techniques. Jusque là vous avez omis les deux premières phases, vous avez plongé vers une solution technique qui vous semblait convenir. Avant de parler de solutions techniques on voit que la séparation des flux selon la typologie d'utilisateurs est une nécessité pour de nombreuses raisons.
            L'idée, dans un réseau MPLS d'utiliser un point de passage unique, centralisée (je ne parle pas encore de solution technique) possède une cohérence. Aussi des contraintes de trafic mais l'idée n'est pas saugrenue. Centraliser toutes les informations collectées semble aussi assez rationnel pour l'exploitation future (attention à ce qu l'on a le droit de faire, la législation CNIL s'applique sur ces données !)

            1 Reply Last reply Reply Quote 0
            • E
              Energist
              last edited by

              Les employés sont sur un SSID différent et ne passent pas via un portail captif, donc pas de souci à ce niveau là.

              Pour ce qui est du hotspot, imaginons dans le cas par exemple d'une galerie commerciale ou quelque chose de similaire, que n'importe quelle personne s'y trouvant peut accéder à internet par le hotspot sans identification. Dans ce cas (galerie commerciale) personne ne peut pas être identifiée comme dans le cas de la location d'une chambre d’hôtel. Je n'ai donc aucun moyen d'identifier réellement la personne dans le cas d'un délit et cela signifie donc que l'entreprise est responsable du délit à la place de l'utilisateur l'ayant commis?

              Si oui, cela m'oblige donc à mettre en place un système d'authentification par exemple par sms, ou existe t-il d'autres moyens?

              Ou alors est-ce que le fait que l'utilisateur ait valider les conditions d'utilisation du hotspot à sa connexion me protège en cas de problème?

              Pour finir est-ce que pfsense est capable de réaliser l'architecture que je veux mettre en place? à savoir gérer un portail captif pour différents sites (avec pages de portail différentes pour chaque site.

              Merci pour tes précieuses réponses.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.