Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Question PoC Wifi Public

    Français
    4
    6
    1.4k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      Lolight
      last edited by

      Contexte :
      Milieu pro, mise en place d'un accès wifi public.

      Niveau expertise de l'administrateur :
      Je suis entre +3 et +5 actuellement, parcours un peux atypique.

      Age de la solution firewall :
      Pour un PoC, donc pas encore réalisé d'un étude matériel qui conviendras a mon besoin.

      Besoin :
      Idéalement proposer un service de hotspot public. Le but pour répondre au normes actuelle est d'avoir un espèce de portail Captif qui recenserais un nom prénom voir adresse mail et d'avoir d'une part une association avec une adresse mac et d'un autre savoir se qu'a fait la personne, sur quel site elle est allée. En somme une historisation de qui a fait quoi (même si nous sommes d'accord c'est pas fiable a 100% loins de la même).

      Schéma :
      Une boiboite pfsense avec 2 interfaces une lan et une wan.

      Le LAN destiné a notre réseau public avec un pool dhcp dessus.

      Le Wan pour l'accès au net.

      Une borne wifi connecter au LAN qui a pour but de diffuser un SSID sans mot de passe.

      Règles Firewall :
      Pas de règles aujourd’hui ce projet est a l'état embryonnaire, et je ne maitrise donc pas pour l'instant l'aspect filtrage.

      Packages ajoutés :
      J'avais pensé a la fonction portail captif pour récupérer quelques information comme un nom un prenom, ou encre une adresse mail.
      Squid pour la récolte d'information sur la navigation web.
      SquidGuard pour éventuellement bloquer quelques sites qui pourrait ne pas être adapté a un public jeune.

      Autres fonctions assignées au pfSense :
      Aucun a priori.

      Question :
      Je ne rencontre pas de problème aujourd'hui je cherche un solution simple rapide a mettre en place, qui réponds a mon besoins et qui entre dans la législation actuelle.
      Ma question est la suivante, squid qui va donc logguer les site consulté par mes utilisateur va-t-il lier les informations récolté par mon portail avec la navigation avec les site consulté ?
      Peux-t-on imaginer rediriger les log vers une base et donnée locale ou distante ?
      Si on eux localement, somme nous capable d'installer un service comme phpmyadmin pour faciliter l'extraction de cette base ?

      Je ne vois pas bien comment ça se comporte.

      Pistes imaginées :
      J'avais pensé a pfsense car c'est assé bien documenté et c'est un OS que j'ai déjà utilisé mais j'ai pensé aussi a des solution type NAC comme packfence ou autre.

      Recherches :
      J'ai vu un topic qui malheureusement n'a pas eu de suite mais qui avais a peut près la même problématique que la mienne.
      https://forum.pfsense.org/index.php?topic=99293.0
      A la fin de se topic je me suis demandé quel étais l’intérêt d'une authentification par portail captif alors que si j'ai bien compris un proxy peut faire l'équivalent ?

      Merci pour votre lecture.

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Merci pour cette présentation.

        Quelques commentaires et suggestions de ma part bien que je n'ai pas le temps de répondre exhaustivement.

        Sur l'expression du besoins:
        Besoin :

        Idéalement proposer un service de hotspot public. Le but pour répondre au normes actuelle est d'avoir un espèce de portail Captif qui recenserais un nom prénom voir adresse mail et d'avoir d'une part une association avec une adresse mac et d'un autre savoir se qu'a fait la personne, sur quel site elle est allée. En somme une historisation de qui a fait quoi (même si nous sommes d'accord c'est pas fiable a 100% loins de la même).

        On y mélange besoin fonctionnel et déjà des solutions techniques. Ce n'est pas une approche idéale puisque l'on biaise le processus. Proposer l'association d'un adresse mac à un historique de navigation est une solution technique (fort discutable d'ailleurs) et non une expression de besoin.

        A propos du schéma

        Le LAN destiné a notre réseau public avec un pool dhcp dessus.

        Le Wan pour l'accès au net.

        Il me semblerait judicieux de prévoir une troisième interface afin de séparer un réseau d'administration filaire de celui destiné aux utilisateurs. Il est difficilement envisageable d'un pont de vue sécurité de mélanger les flux d'un réseau non maitrisé (le lan dans votre cas) avec les flux d'administration qui sont sensibles.

        A propos des packages

        Squid pour la récolte d'information sur la navigation web.
        SquidGuard pour éventuellement bloquer quelques sites qui pourrait ne pas être adapté a un public jeune.

        Compte tenu de l'usage prévu, et des contraintes légales un gros volume de logs est prévisible. D'autre part ces logs doivent être archivés et sécurisés. Réaliser cela sur Pfsense est fortement inadapté. Un proxy dédié au moins (sans parler du serveur de logs) semble indispensable. Si vous mainteniez la soltion package, le stockage des logs à l’extérieur de Pfsense est un strict minium.

        Ma question est la suivante, squid qui va donc loguer les sites consultés par mes utilisateur va-t-il lier les informations récoltées par mon portail avec la navigation avec les site consulté ?

        Un point clé est passé sous silence : comment allez vous géré, générer les éléments d’authentification utilisés par les utilisateurs ?

        Peux-t-on imaginer rediriger les log vers une base et donnée locale ou distante ?

        Oui : Rsyslog pour faire au plus simple.

        Si on eux localement, somme nous capable d'installer un service comme phpmyadmin pour faciliter l'extraction de cette base ?

        Non phpmyadmin n'est pas l'outils. Cherchez du côté de Rsyslog, syslog-ng, Graylog, Splunk, …

        Une réflexion sur la gestion des identifiants et l'authentification s'impose en dehors des points qui précèdent.

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          (Problème bien présenté : bravo !)

          Attention à la confusion (fréquente) :

          • logs du service dhcp -> syslog -> envoi possible vers serveur rsyslog (syslog-ng, …)
          • logs du portail captif -> syslog -> envoi possible
          • logs de Squid -> PAS dans syslog (beaucoup trop gros !)

          Les logs de Squid DOIVENT être 'bougés' au moment de la rotation des logs (commande généralement mise en oeuvre avec cron-daily ou weekly).

          Pour le reste, ccnet dit (toujours) le fond de la méthode !

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • C
            chris4916
            last edited by

            A mon avis, ton approche est biaisée.

            Le portail captif vise à intercepter la requête d'un utilisateur qui veut accéder à un réseau (ici internet) et à gérer des règles de FW pour interdire ou autoriser cet accès après validation par le biais d'une application, authentification, voucher…

            Les fonctionnalités de log sont ici très limitées.

            Si tu as vraiment besoin d’identifier et conserver les données reflétant les action de l'utilisateur sur le web, il n'y a à mon avis que le proxy HHTP (ce qui n'empêche pas d'introduire un portail captif en amont, c'est un autre aspect) et il faut également coupler ce proxy a des fonctions de filtrage avancées, sans quoi l'utilisateur va facilement contourner ton infra pour se connecter à un proxy externe en HTTPS et passer ce qu'il veut dans le tunnel, de manière masquée.
            Donc des blacklists des les ACL  ;)

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • C
              ccnet
              last edited by

              Je le pense aussi.

              1 Reply Last reply Reply Quote 0
              • L
                Lolight
                last edited by

                Bonjour JDH Ccnet et Chris4916, je vous remercie pour vos réponses instructives.

                Vous m'avez éclairé sur plusieurs points. Je retiens la solution du cron tab, dommage qu'on ne puisse pas logguer dans une base de donnée avec squid ça m'aurais bien plus. Je trouve ça plus simple de faire une petite requete SQL pour afficher a extraire les infos.
                Si non je n'avais pas du tout penssé au ACL, se qui tombe sous le sens quand on considère les différentes problématique du portail Captif, je vais me renseigner de se côté la.
                J'ai eu il y a peut la vue sur se que l'on demande aujourd'hui a un portail en terme de fonctionnalitée et de gestion. J'ai donc avec ça et vos explications une vision plus claire au niveau des objectifs a remplir.
                Bref avec un peut méthodologie, de recherche complémentaire je devrais m'en sortir.

                Merci a vous, je reviendrais vous embêter si jamais j'ai de gros points noirs.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post