Restriction de la bande passante sans trop de contrainte



  • Bonjour à tous,

    Contexte : Dans mon entreprise (je suis en alternance en BTS SIO) j'aimerai mettre en place un limiteur de bande passante PAR CONNEXION. J'ai connaissance de la possibilité de le faire via un portail captif, cependant cela m'oblige à en mettre un alors que mon DSI n'y est pas favorable actuellement.  En revanche, même si je ne le configure que de manière très minimale, la page d'authentification apparait pour les nouvelles connexions ce qui est justement la raison du refus de mno DSI.

    Besoin : De ce fait, j'aurai besoin, soit d'une autre solution pour limiter la bande passante, soit d'activer le portail captif pour le faire mais tout en laissant les connexions faciles c'est à dire sans authentification.

    Schéma :

    WAN (modem/routeur/box) : nombre, type, bridge/routeur, nombre d'ip publique, si multiwan, préciser loadbalancing/failover, adressage, …

    LAN : Je dispose d'un seul LAN, mon serveur primaire se charge de délivrer les configurations IP, le DNS, etc.

    WIFI : Certains postes de mon parc sont cablés et d'autres utilisent le Wi-Fi via un CISCO controler et des Acces Points.

    Règles Firewall : J'ai une règle principale qui autorise les ports nécessaires aux utilisations envisagées sur le parc, et ensuite une règle qui me bloque tous les ports de 1 à 65553

    Question :

    Pistes imaginées : Mise en place d'un portail captif mais avec un taux de contrainte pour les utilisateurs proche de 0 !

    Logs et tests : Avec le portail captif, les essais sont concluants car si je lance un téléchargement mon poste de dépasse pas 2Mbits/s comme convenu mais il reste le problème de la page d'authentification auprès de PFSense lors de la navigation sur le web.

    D'avance merci pour vos réponses,

    Cordialement,

    Loïc



  • Bonjour,

    vous direz à votre DSI qu'il a l'obligation légale de réstreindre l'accès au net, et de tracer (dans la mesure du possible) (tout ce qui au moins commence par "http://") au départ de son réseau.

    or vous n'êtes pas sans savoir qu'une machine = pas forcément un utilisateur.

    laisser un réseau ouvert, avec un proxy, et se fier uniquement sur le DHCP pour toute concordence proxy, n'est pas la bonne methode.

    pour régler votre probleme sans trop de complexité :

    munissez vous de radius, et authentifiez vos appareils par la MAC.
    limitez la bande passante (de la meme manière que le ferait un WISP) en créant des "tarifs techniques", assorties de conditions.

    c'est très scalable, vous pouvez ainsi travailler par la bande passante montante et descendante, le temps de connexion, les jours autorisés
    etc.

    activez le portail captif, et mettez le en MAC AUTH, avec radius

    mettez par GPO dans les pages d'accueil une url commencant par http://

    mettez des idle timeout pouvant couvrir la journée entière

    il n y aura ainsi pas de code a saisir le matin a l'arrivée de l'employée, et celui -ci aura une legere attente de 1 a 2 sec (traitement radius) lors du tout premier affichage de la page d'accueil

    vous pouvez aussi faire en dur directement dans pfsense, avec mac passthrough et debits

    mais ca sera en dur.
    et pas aussi scalable/affiné que radius.

    cordialement



  • par ailleurs, je ne vois sincerement pas ou est le taux de contrainte du portail captif

    si vous avez AD,vous pouvez même l'implémenter.

    que voulez vous dire par contrainte? saisir les identifiants?

    pourquoi ne pas utiliser squid, avec une propagation des identifiants AD, et une limite de BP globale sur squid…

    tout est possible



  • Ce qui est dit au dessus est juste. J'y ajoute qu'un proxy comme Squid est en mesure de prendre en charge des problématiques d'allocation de bande passante.
    Votre DSI, comme beaucoup, n' a pas intégré les obligations de l'entreprise sur l'enregistrement des activités liées trafic http. A défaut c'est la responsabilité du représentant légal de l'entreprise qui est engagée. L'ensemble est un peu complexe sur le plan juridique et c'est ce point qu'il faut bien comprendre pour en déduire les solutions techniques appropriées.



  • Bonjour,

    Tout d'abord merci pour vos réponses, qui plus est assez complètes ! ;)

    Concernant notre sécurité, notre rapport à la loi, comme vous l'avez dit c'est le problème de mon DSI (accessoirement DG). Pour ma part j'ai dit les choses, mais si ça ne se fait pas, chacun son problème, je ne peux pas aller contre les directives qui me sont données.

    Concernant la mise en place de radius, je vais pousser ma recherche là-dessus car je ne connais pas du tout, mais merci de l'info.
    La MAC AUTHENTIFICATION est disponible sans mettre Radius ? Cela permet-il de ne pas avoir de page d'authentification login/password ?

    Pour les GPO, c'est plus compliqué dans le sens où beaucoup d'étudiants se connectent avec leurs postes personnels et donc ne sont pas dans le domaine.

    Pour être honnête je ne vois pas non plus où est le taux de contrainte du portail captif, mais apparemment il réside dans l'authentification de 1ère connexion (DSI touch), d'autant que oui nous avons un AD complet et que nos étudiants pourraient se connecter avec les mêmes identifiants que pour accéder à leur portail perso (dans la mesure où les mots de passe ne sont pas oubliés fréquemment comme c'est le cas actuellement).

    Merci pour Squid, je vais aussi pousser mes recherches là-dessus.

    Encore merci, je reviendrai vers vous lorsque j'aurai pris ma décision, et attaqué la configuration.

    Bonne semaine ;)

    EDIT : "vous pouvez aussi faire en dur directement dans pfsense, avec mac passthrough et debits" c'est à dire qu'il faut que j'identifie toutes les @MAC et que je mette manuellement une limite à chacune en les entrant dans la liste de MACpass-through du portail captif ?



  • @lg750:

    Bonjour,

    Tout d'abord merci pour vos réponses, qui plus est assez complètes ! ;)

    Concernant notre sécurité, notre rapport à la loi, comme vous l'avez dit c'est le problème de mon DSI (accessoirement DG). Pour ma part j'ai dit les choses, mais si ça ne se fait pas, chacun son problème, je ne peux pas aller contre les directives qui me sont données.

    Concernant la mise en place de radius, je vais pousser ma recherche là-dessus car je ne connais pas du tout, mais merci de l'info.
    La MAC AUTHENTIFICATION est disponible sans mettre Radius ? Cela permet-il de ne pas avoir de page d'authentification login/password ?

    Pour les GPO, c'est plus compliqué dans le sens où beaucoup d'étudiants se connectent avec leurs postes personnels et donc ne sont pas dans le domaine.

    Pour être honnête je ne vois pas non plus où est le taux de contrainte du portail captif, mais apparemment il réside dans l'authentification de 1ère connexion (DSI touch), d'autant que oui nous avons un AD complet et que nos étudiants pourraient se connecter avec les mêmes identifiants que pour accéder à leur portail perso (dans la mesure où les mots de passe ne sont pas oubliés fréquemment comme c'est le cas actuellement).

    Merci pour Squid, je vais aussi pousser mes recherches là-dessus.

    Encore merci, je reviendrai vers vous lorsque j'aurai pris ma décision, et attaqué la configuration.

    Bonne semaine ;)

    EDIT : "vous pouvez aussi faire en dur directement dans pfsense, avec mac passthrough et debits" c'est à dire qu'il faut que j'identifie toutes les @MAC et que je mette manuellement une limite à chacune en les entrant dans la liste de MACpass-through du portail captif ?

    oui

    et je vous déconseille de le faire, vous semblez avoir une certaine dynamique dans votre réseau, => VOUS AVEZ BESOIN DE RADIUS

    –-

    Et je n'aborderai même pas le sujet relatif aux partages de comptes.


    je ne peux en dire plus, vous ne nous avez pas dit dans quel contexte d'utilisation votre réseau s'inscrit.

    Globalement, je vous invite a travailler par la mac, avec réseaux étanches Vlan, (en laissant AD de coté), ne confiez pas a AD cela..
    et donnez cela a RADIUS.

    voyez la chose en 3 dimensions:

    -> AD = un compte = un utilisateur

    -> RADIUS = des comptes = des machines = "1" contrat utilisateur

    -> une machine = des droits d'accès (débit, lieu( NAS RADIUS), horaire, volume, temps)  => SA MAC.  et pourquoi pas le couple MAC/IP si vous vous voulez.

    a) Vous savez qui vous avez sur le réseau en live  (type machine etc)
    b) Vous savez ce qui est hors du réseau
    c) vous mettez un terme au partage de compte
    d) vous pouvez différencier les classes de service en fonction des appareils  (Un iphone doit il avoir 20 még ? thats the question.)

    e) vous avez la maitrise sur votre parc (dynamique) (qui vous appartient pas),

    exemple:  moi dans mes outils d'activation de droits clients,  lorsque tu saisis la MAC pour la "provisionner", ca fait un appel sur l'api OUI MAC.

    c'est tout con, mais tu n'imagines pas le nombre de gens qui te disent "ouais c'est mon ipad", et en fait tu te retrouves avec une Smart TV.

    je pense que c'est important de savoir ce qu'il y a sur un réseau, et pas que "qui il y a",  hors avec les codes, lol, laisse tomber,....
    les gens se les partagent..  tu peux rien y faire

    Nous quand un locataire appelle, au tel c'est "alors monsieur, sur votre contrat, j'ai:  votre PC, votre Iphone, votre play"

    c'est d'équerre,  le mec il change d'appareil, => tu fais un "swap"  (retrait/ajout)

    => reste a savoir si ce genre de modus operandi te convient.
    => Il convient parfaitement a de grandes résidences étudiantes, ou la secretaire via une appli maison peut parfaitement (alors qu'elle y connait rien) provisionner/déprovisionner des droits,  ou dans un hopital, du même style qu'ils t ouvrent la TV.

    ya des structures ou ils s'embettent encore moins et "generent des tickets" chargés de droits, des codes..
    si tu veux agir sur la rapidité la simplicité > les codes    > desavantage : pretable
    si tu veux agir sur l'écrémage, si tu veux t orienter "materiel" > la mac  > desavantage : genere du travail aux DSI (swap)

    Ton DSI te diras que la MAC c est quelque chose de contournable,

    toutefois, tu pourras lui dire, que votre but, c'est pas la NSA, juste d'écrémer 98% des utilisateurs  (qui ignorent ce qu'est une mac)

    et pour les 2% restants, tu peux faire un essai de ce qui se passe sur un réseau lorsqu'il y a deux macs pareilles et que la mac legitime a déja un bail....
    le DHCP s'enmelle et ca te met la pagaille!  le voleur est obligé de faire du statique, tu le vois !

    le cloning est quelque chose de visible, que tu peux traquer.
    tu peux même faire en sorte que le compte client "tombe en panne" en cas de cloning,
    via radius  (via un profil technique  sur le compte client) (le client legitime tombe en panne, ils se genent l'un l'autre, idéal quoi?... ;) )

    de même que les utilisateurs qui changent souvent d'IP locale, signe d'une activité anormale  (cloning sans concurrence sur le réseau)

    Radius, MYSQL, sont tes amis pour ensuite régulièrement extraire ce genre d'informations

    associés aux dates aux heures, au syslog de tes AP, tu peux facilement tomber sur les fautifs, et retracer le truc.



  • Salut salut

    Par le passé j'ai participé dans un projet de sécurisation d'un réseau d'une grande école.

    La problématique était aussi liée à des users qui avaient des portables (pc ou mac, ou tablettes) sans pour autant être dans le domaine

    Ils leurs avaient été donné un log/pass qui leur perméttaient d'avoir accès aux ressources dont ils avaient besoins

    Le couple raduis/sgbd avait mis en place c'est ce couple la qui donnait les accès et qui uniformisait les sessions a X ou y appli ou matériel. la colonne vertébrale en quelques sorte.

    Pour squid il était inbriqué comme les autres services ou ressources à radius/sgbd.

    Le filtrage des mac aussi.

    C'est un retour d'expérience à prendre comme tel.

    Cordialement.



  • exact @tatave

    apres voila tout dépend de ce que tu attends de ton réseau,  veux tu faire du A, ou du AAA …

    un café qui veut filer internet, mettra un code journalier sur un ticket de caisse

    un hopital qui veut pas que les voisins de chambre copinent et se pretent des codes, prendra ses dispositions

    une résidence étudiante qui veut pas que ce soit le bordel sur son réseau, avec 15 parasites et 1 mec abonné a un étage seulement
    prendra ses dispositions

    tout dépend du modus opérandi.

    une chose est sure:

    • les utilisateurs ne se generont pas pour te pirater le service si ils le peuvent, ou si on leur montre comment faire (manière simple)
    • les utilisateurs feront tout pour payer le moins, voir pas du tout (cf precedent, comment le voisin te montre en 5min comment contourner)
    • ils seront les premiers a dire que tu as un réseau de merde

    tout dépend de la population

    un café => usage rapide
    un hopital => tu es bien content même d'avoir une connexion de merde

    une résidence étudiante => maman et papa payent tout, j ai une play, un iphone, et je veux la fibre dans mes toilettes
    (je simplifie, tu n as pas que ca... tu as aussi les gens qui arrivent a consommer 800MO de volume en 1 mois...)

    il te faut considerer toutes les populations

    ;)  ton besoin, ta population, la topo réseau, les impératifs géographiques (batiments etc)

    ==>  voila ce qui te permet de faire un tableau comparatif et d'adopter la solution quil te faut



  • Eh bien merci beaucoup pour ses réponses (pas évidente à comprendre mais qui ont le mérite d'être complète).

    Pour répondre brièvement aux interrogations, je travail dans le service informatique d'une école privée, nous avons des salles informatiques avec des postes appartenant au domaine et parallèlement une 50ène d’utilisateurs par jour qui utilisent le réseau avec leurs postes portables / smartphones / tablettes.

    Pour moi l'idée serait de pouvoir savoir qui est connecté précisément grâce à son login/pasword (exemple P.DUPONT) et de limiter pour chaque utilisateurs la bande passante à 2mb/s environ.
    Je doute qu'il y ait des échanges de login sachant que personne n'y trouverait son intérêt et qui plus est nous avons peu d'utilisateurs en simultanée et savons qui est censé être ici ou non.

    Dernière chose, il faut impérativement que tout se fasse depuis mon poste, sans avoir à intervenir sur les postes perso des jeunes pour avoir quelconque information, nom de poste ou autre. Je peux faire correspondre les @Mac avec les noms de postes grâce à mon AD et/ou à mon contrôleur Wi-fi, mais quid de l'utilisateur qui s'appelle "PC_de_toto"… ?
    D'où l'intérêt de ne fonctionner qu'avec un système de login étant donné que ceux ci sont référencés dans mon AD et dans notre ERP. Parallèlement se pose le problème d'accord de mon DSI de mettre en place un portail captif digne de ce nom, avec authentification via login/pwd.

    Voila à peu près le résumé de la situation, sachant que je me heurte à une forme de procrastination de mon DSI au sujet de mettre en place un portail captif avec authentification et en parallèle je reçois des plaintes des utilisateurs dues au ralentissement du réseau (car un utilisateur X peut prendre une bonne partie de la bande passante au détriments des utilisateurs Y et Z).

    EDIT : concernant toutes les solutions que vous m'apportez, est ce que chacun n'est faisable qu'à travers mon PFSense et les packages proopsés ?



  • je vous rappelle que sur le portail captif, vous avez la possibilité de mettre une page de fallback qui intervient lorsque toutes les sources d'auth ont décliné la requete

    vous pouvez alors facilement via PHP faire afficher :  PC DE TOTO  / ADRESSE MAC  / IP  etc

    et pire encore, par le biais d'un autre script, vous pouvez même

    • faire une API au radius afin de live provisionner des droits de base temporairement pour l'appareil

    ou

    • enrichir votre erp, via un simple bouton sur la page fallback du style "demande activation aappareil"

    cdlt

    ou juste faire afficher les infos qui peuvent etre envoyés a l admin par mail/ ou tel



  • Merci pour toutes ces informations, je me pencherai là-dessus dès que le temps le permettra. J'ai informé mon DSI de notre manquement vis à vis de la loi, maintenant j'attends le feu vert et en attendant je vais explorer tout ça.

    Cordialement,

    Loïc



  • Juste par acquis de conscience, est ce qu'il y a moyen, SANS portail captif ni autre installation, de limiter la bande passante par connexion ?
    Avec traffic shaper par exemple ? j'ai bien tenté quelques réglages mais rien de concluant.

    Ce me permettrait de régler ce problème (quand une personne X lance imaginons un téléchargement, il va pomper les 15mbits de la bande passante et pendant ce temps là, les autres n'ont que les restes pour naviguer). Et ensuite je pourrai me consacrer aux recherches sur le portail captif, radius, squid, etc.

    Cordialement, bonne semaine.



  • activez le portail captif sans authentification et limitez globalement la bp

    cdlt



  • Bonjour,

    J'ai déjà essayé cette configuration mais cela n'empêche pas l'affichage de la page d'authentification, dans laquelle il faut laisser les cases vides et valider la page telle quelle.


Log in to reply