Ryu Posté(e) le 13 septembre 2008 Partager Posté(e) le 13 septembre 2008 Bonjour, Pour faire bref, j'ai des amis qui reprennent un commerce (brasserie-restauration) et qui souhaiteraient mettre à disposition un accès wifi pour leur clientèle. Je suis en quête de quelques conseils, surtout niveau matériel. Normalement à ce que j'ai compris, ils prendraient sur leur connexion. J'avais pensé au départ à prendre simplement un routeur/wifi, mais je sais pas si il existe des routeurs capables de "sécuriser" le réseau, dans le sens restreindre l'accès au surf/mails le tout en bridant le débit pour chaque connexion. Ou si il faut obligatoirement passer par une solution avec un proxy (style une machine sous linux). Je recherche le compromis entre la solution la moins onéreuse et la plus sûre. Si quelqu'un a de l'expérience dans ce domaine et qui peut m'orienter, ça serait sympa Lien vers le commentaire Partager sur d’autres sites More sharing options...
crocodudule Posté(e) le 14 septembre 2008 Partager Posté(e) le 14 septembre 2008 Techniquement je penche pour le proxy ou en tout cas pour un serveur capable de conserver une trace du trafic généré et pas un accès direct. Pour les proxy il y a squid (linux/windows) et janaserver (windows), tu as aussi des distrib. linux dédiées comme Zone CD (sous réserve de pouvoir conserver les log en dur). En terme de matériel, laisse tomber les box de base, la couverture est généralement mauvaise et surtout les capacités d'administration des services sont rarement géniales. Une autre solution intéressante, du moins qui semble économique c'est utiliser un Linksys WRT54G et d'y faire tourner Chillispot. Principe, le client ne peut pas se connecter sans s'authentifier, s'il capte le signal, il arrive sur un petit portail web présent sur le routeur (genre tof de l'établissement et cadres pour la saisie de l'ID et du pass), après avoir conservé un moyen de l'identifier (*), le responsable lui donne une ID et le pass et zou, les logs sont directement dispo. sur le routeur (certaines informations sont a conserver un an). > Petit guide du montage: http://www.pervasive-network.org/SPIP/Inst...illispot-sur-un - Pour ce qui est de la conservation et en schématisant: . un moyen de relier identité réelle(*) et IP attribuée sur le réseau local wifi . le log du traffic (permettant de conserver les adresses des services visités/utilisés par les IP des clients) . durant un an (et pas plus car c'est aussi une infraction). . Le traitement doit être déclaré à la CNIL (déclaration classique, y a peut-être une déclaration simplifiée, mais dans tous les cas c'est rapide et gratuit), et toutes les données n'ayant aucun rapport avec les infos données plus haut doivent être effacées le plus rapidement possible (selon le type de log y a parfois certains contenus des messages, ça cela doit dégager le plus rapidement possible, risque de poursuites pénales là aussi). . Une bonne pratique: séparer le moyen de relier IP avec l'identité d'un coté et le log du trafic de l'autre, c'est seulement à la demande d'un juge que le rapprochement sera fait (ça évite d'avoir une foire à l'intrusion dans la vie privée des clients si les données sont par exemple volées). Autre bon conseil, cryptage d'au moins le fichier reliant IP et identité pour être certain que seul le responsable aura accès au info. dans tous les cas il faut que le stockage soit sécurisé et que seul l'accès aux personnes habilitées soit possible, ici c'est pas simplement une bonne pratique c'est tout simplement une obligation pénalement sanctionnée. . Les clients doivent pourvoir exercer leur droit d'accès et de rectification. En gros la personne doit pouvoir obtenir une copie des données qui lui sont relatives (pour un cout maximal égal au prix de la reproduction ou photocopie) et faire rectifier les données fausses ou qui n'ont pas a être conservées. En revanche, il n'est pas nécessaire que la personne consente a être fliquée, c'est une obligation légale. . Naturellement il est interdit d'utiliser le traitement/fichier pour aucune autre finalité, pas de revente, ou de prise de connaissance des habitudes de surf des clients ou de prospection commerciale. Sinon le risque est de 5 ans et 300 000€. Pour les textes imposant la conservation: loi sécurité intérieure de 2003 (dite loi sarkozy), loi sur la lutte contre le terrorisme de 2006 (dite loi sarkozy 2), modifiant l'article L. 34-1 du Code des communications électroniques et le décret n°2006-358 du 24 mars 2006 (ce dernier est important pour savoir quoi conserver). * la CNIL estime que l'identité n'a pas être conservée ni demandée du moins c'est ce qu'elle a expliqué dans un de ses communiqués et dans une de ses délibérations: http://www.cnil.fr/index.php?id=1953 (et avis du 10 octobre 2005). Seulement, le décret tout comme la pratique jurisprudentielle pensent le contraire, ce qui est logique, que faire du log du trafic sans avoir le moyen d'identifier les IP qui apparaissent et correspondent aux utilisateurs... pour une exemple http://www.juriscom.net/actu/visu.php?ID=661 ps: une modification prochaine risque d'imposer aussi la conservation des informations relatives au contenu, bon là par contre ça va être le bordel absolu et sans compter l'intrusion pure et simple dans la vie privée et la fin de la confidentialité des échanges sur le net... ps-bis: j'ai bien conscience que tu pensais pas avoir a gérer tout ça à la base alors que tu souhaites juste offrir un service supplémentaire aux clients. De même, ça peut paraitre incroyable alors qu'en pratique les hotspot sont par définition libres d'accès... Mais c'est la loi... une société de peur implique la surveillance de tous par tous ... __________________ Edit: J'avais complètement oublié mon pavé, pour éviter de faire remonter le topic pour rien, j'édite ici: j'avais complètement oublié mon pavé. Bon je sais bien que c'est pas parce que d'autre ne le font pas, qu'il faut suivre cette exemple. Mais de ce fait ça m'avait donné une idée un peu fausse sur l'implantation d'un accès wifi libre... Le problème est bien là, c'est que en pratique la règlementation rend très difficile la mise en place "conforme" d'un simple AP public. C'est bien dommage. Et la prochaine modification du décret, va rendre les choses plus difficiles encore et surtout risque d'atomiser le principe de confidentialité du contenu des échanges (les données "techniques" c'est déjà plus le cas). Encore merci pour ta réponse C'est avec plaisir Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ryu Posté(e) le 14 septembre 2008 Auteur Partager Posté(e) le 14 septembre 2008 Bonjour Crocodudule, Je tiens avant tout à te remercier pour ta réponse complète et du temps que tu as pris Je vais commencer par la fin : ps-bis: j'ai bien conscience que tu pensais pas avoir a gérer tout ça à la base alors que tu souhaites juste offrir un service supplémentaire aux clients. De même, ça peut paraitre incroyable alors qu'en pratique les hotspot sont par définition libres d'accès... Mais c'est la loi... une société de peur implique la surveillance de tous par tous ... Effectivement je suis plutôt étonné, je pensais pas que le fait d'implanter et de mettre à disposition une borne wifi "libre" à de tierces personnes, demandait autant de "restriction". Et comme tu l'as compris le but de base était simplement d'offrir un service supplémentaire aux clients. Mes amis s'étaient renseignés au près d'Orange, ce dernier leur a proposé de prendre une Livebox Pro, et quand on voit sur leur site internet la simplicité de mise en service (lien), je me suis dit que c'était pas forcément la peine de passer par eux. Techniquement je penche pour le proxy ou en tout cas pour un serveur capable de conserver une trace du trafic généré et pas un accès direct.Pour les proxy il y a squid (linux/windows) et janaserver (windows), tu as aussi des distrib. linux dédiées comme Zone CD (sous réserve de pouvoir conserver les log en dur). En terme de matériel, laisse tomber les box de base, la couverture est généralement mauvaise et surtout les capacités d'administration des services sont rarement géniales. Une autre solution intéressante, du moins qui semble économique c'est utiliser un Linksys WRT54G et d'y faire tourner Chillispot. Principe, le client ne peut pas se connecter sans s'authentifier, s'il capte le signal, il arrive sur un petit portail web présent sur le routeur (genre tof de l'établissement et cadres pour la saisie de l'ID et du pass), après avoir conservé un moyen de l'identifier (*), le responsable lui donne une ID et le pass et zou, les logs sont directement dispo. sur le routeur (certaines informations sont a conserver un an). > Petit guide du montage: http://www.pervasive-network.org/SPIP/Inst...illispot-sur-un En effet la solution du routeur avec firmware alternatif est une solution intéressante (surtout au niveau frais). Mais c'est sur que ca vaut pas la solution du proxy qui lui gère tout d'une manière beaucoup plus développée. Je pensais pas qu'il fallait archiver certaines informations pendant 1 an. En fait c'est très intéressant à savoir tout ça ! - Pour ce qui est de la conservation et en schématisant:. un moyen de relier identité réelle(*) et IP attribuée sur le réseau local wifi . le log du traffic (permettant de conserver les adresses des services visités/utilisés par les IP des clients) . durant un an (et pas plus car c'est aussi une infraction). . Le traitement doit être déclaré à la CNIL (déclaration classique, y a peut-être une déclaration simplifiée, mais dans tous les cas c'est rapide et gratuit), et toutes les données n'ayant aucun rapport avec les infos données plus haut doivent être effacées le plus rapidement possible (selon le type de log y a parfois certains contenus des messages, ça cela doit dégager le plus rapidement possible, risque de poursuites pénales là aussi). . Une bonne pratique: séparer le moyen de relier IP avec l'identité d'un coté et le log du trafic de l'autre, c'est seulement à la demande d'un juge que le rapprochement sera fait (ça évite d'avoir une foire à l'intrusion dans la vie privée des clients si les données sont par exemple volées). Autre bon conseil, cryptage d'au moins le fichier reliant IP et identité pour être certain que seul le responsable aura accès au info. dans tous les cas il faut que le stockage soit sécurisé et que seul l'accès aux personnes habilitées soit possible, ici c'est pas simplement une bonne pratique c'est tout simplement une obligation pénalement sanctionnée. . Les clients doivent pourvoir exercer leur droit d'accès et de rectification. En gros la personne doit pouvoir obtenir une copie des données qui lui sont relatives (pour un cout maximal égal au prix de la reproduction ou photocopie) et faire rectifier les données fausses ou qui n'ont pas a être conservées. En revanche, il n'est pas nécessaire que la personne consente a être fliquée, c'est une obligation légale. . Naturellement il est interdit d'utiliser le traitement/fichier pour aucune autre finalité, pas de revente, ou de prise de connaissance des habitudes de surf des clients ou de prospection commerciale. Sinon le risque est de 5 ans et 300 000€. transpi.gif Pour les textes imposant la conservation: loi sécurité intérieure de 2003 (dite loi sarkozy), loi sur la lutte contre le terrorisme de 2006 (dite loi sarkozy 2), modifiant l'article L. 34-1 du Code des communications électroniques et le décret n°2006-358 du 24 mars 2006 (ce dernier est important pour savoir quoi conserver). Je sens que ce passage, va plus que freiner le projet. Mais je me rends compte que ce qui est exposé n'est pas appliqué par tout le monde. Je vais prendre un exemple simple, un peu avant les vacances je suis allé manger au Mac Do (Pour votre santé, évitez de manger trop gras, trop sucré, trop salé ) avec un ami qui voulait tester son nouveau téléphone. On s'est connecté et on a eu accès au web sans demande d'authentification... De plus dans la solution que propose Orange (livebox Pro) je vois pas non plu, dans les explications, un passage qui fait référence à ça... (Par contre ca a l'air d'être un accès payant) Donc déjà pour le premier point, ca a pas l'air d'être respecté partout. Bon je sais bien que c'est pas parce que d'autre ne le font pas, qu'il faut suivre cette exemple. Mais de ce fait ça m'avait donné une idée un peu fausse sur l'implantation d'un accès wifi libre... J'ai l'impression que la solution livebox Pro est la plus simple au final. Encore merci pour ta réponse Lien vers le commentaire Partager sur d’autres sites More sharing options...
PoSKaY Posté(e) le 14 septembre 2008 Partager Posté(e) le 14 septembre 2008 Je sais pas si tu connais le projet FON ? Pas mal de restos/hotels optent pour ça. C'est simplissime, et c'est vraiment pas cher, par contre il faut que tes clients fassent partie du projet et ça c'est pas courant ... Par contre tu peux créer des accès "invités" sur le routeur, qui te permettent d'offrir l'accès à des invités. Je sais plus si on peut en faire une quantité illimitée, mais ça pourrait faire l'affaire. De plus leur routeur garde en mémoire les connexions (qui s'est connecté, à quelle heure/jour et pendant combien de temps). Sinon pour le MacDo je me suis servi de leur wifi qu'une fois, et ils m'ont demandé d'accepter les conditions générales pour avoir l'accès ... Je les ai bien évidement pas lues ( ) mais dedans ils disaient peut-être que notre adresse Mac et notre parcours était concervé, d'où le fait qu'il n'y ai pas besoin de s'authentifier. Edit : je viens de regarder le lien que tu donnes pour la livebox pro, effectivement c'est sûrement la meilleure solution ! Surtout que ça permet d'être référencé, et du coup d'apporter des clients potentiels de passage dans le coin ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ryu Posté(e) le 14 septembre 2008 Auteur Partager Posté(e) le 14 septembre 2008 Hello PoSKaY ! Oui je connais le projet FON mais je dois avouer que j'y avais pas pensé Mais le fait que l'accès soit "réservé" aux membres du projet, ça limite grandement, surtout que vu l'endroit (c'est une petite ville). Sinon c'est vrai que c'était intéressant. Pour Mac Do oui il y avait une page de validation, j'ai pas non plu fait attention aux conditions générales, mais il n'y avait pas d'authentification, c'est ce que j'ai voulu exposer en fait. Le système hotspot Orange (via Livebox pro) a l'air bien adapté oui mais c'est payant pour les clients. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.