raphpitt

Proxy sur hotspot wifi d'hôtel ou restaurant en 2017

10 publications dans ce sujet

Bonjour,

Je cherche à mettre en place un proxy qui offre la possibilité de mettre un portail captif et qui sait gérer le protocole TLS (https). Et malgré toutes mes recherches, je n'ai pas trouvé plus d'informations qu'un serveur proxy type Squid, malheureusement, celui-ci reste à configurer dans les paramètres navigateurs internets...

La question se pose donc du côté software. Quel OS me permettrai de réaliser cela ?


D'avance,
raphpitt

Partager cette publication


Link to post
Share on other sites

Les paramètres du proxy peuvent être envoyés par dhcp.
Mais ça n'a rien à voir avec un portail captif qui spoof le serveur DNS pour renvoyer tous les liens vers le serveur web du portail et débloque l'accès par adresse MAC après authentification.
 

Si c'est pour un hôtel, tu ne pourra pas mettre en cache les données https sous peine de voir les clients hurler parce que le HSTS va pas aimer ça du tout
(si le client a déjà eu une session ouverte en connexion directe à facebook par exemple il refusera le certificat du proxy. protection contre les attaques MITM)
Et le cache sers plus à grand chose de nos jours à cause des CDN (l'adresse des contenus change tout le temps donc la même vidéo youtube par exemple peut être mise en cache 20 fois sans jamais être relue depuis le proxy)
Donc à part dans les entreprises pour filtrer finement le contenu et fliquer les salariés, le proxy n'a plus vraiment d’intérêt.

Partager cette publication


Link to post
Share on other sites
Il y a 13 heures, L33thium a écrit :

Les paramètres du proxy peuvent être envoyés par dhcp.
Mais ça n'a rien à voir avec un portail captif qui spoof le serveur DNS pour renvoyer tous les liens vers le serveur web du portail et débloque l'accès par adresse MAC après authentification.
 

Si c'est pour un hôtel, tu ne pourra pas mettre en cache les données https sous peine de voir les clients hurler parce que le HSTS va pas aimer ça du tout
(si le client a déjà eu une session ouverte en connexion directe à facebook par exemple il refusera le certificat du proxy. protection contre les attaques MITM)
Et le cache sers plus à grand chose de nos jours à cause des CDN (l'adresse des contenus change tout le temps donc la même vidéo youtube par exemple peut être mise en cache 20 fois sans jamais être relue depuis le proxy)
Donc à part dans les entreprises pour filtrer finement le contenu et fliquer les salariés, le proxy n'a plus vraiment d’intérêt.

J'ai compris les protocoles que tu cites, mais j'ai un peu de mal à comprendre le sens de tes phrases. J'ai tout de même globalement compris.

Niveau praticité, je me doute que ça rend la navigation difficile.

 

Disons qu'il est nécessaire d'avoir les logs (MAC, heures) ... Dans le cadre légal, s'il ne m'est pas possible de filtrer, il nous faut au minimum les liens visités pour prouver la responsabilité en cas de problème

Partager cette publication


Link to post
Share on other sites

Le routeur peut logger qui se connecte à quel site (mais pas les liens en https), le portail captif faisant le lien entre les identifiants du client et l'adresse mac du poste.
Tu devrais t'orienter vers le solutions faites pour ça comme wifidog ou nodogsplash par exemple.

et hsts est un mecanisme de securité https qui bloque la connexion si le certificat n'est pas celui du site original

mais si les problèmes légaux te préoccupent tant, il vaut peut être mieux faire appel à un professionnel pour installer ce type de solution.

Tu ne dois pas enregistrer plus de données que ce que la loi exige au risque de te mettre toi-même hors la loi..

PS : le portail captif n'a rien à voir avec un proxy.
C'est un routeur dhcp et serveur dns contrôlé par une application web.
Tant qu'une adresse mac non authentifiée essaye d'acceder à n'importe quelle adresse, elle sera renvoyée vers par exemple "http://hotel.lan/auth/"
Une fois authentifiée et liée à un identifiant personnel, le serveur dns renverra les bonnes adresses et pourra enregistrer les connexions.
Il sers à faire le lien entre un identifiant (une adresse email ou un numéro de chambre par exemple) et une adresse IP

Tout ce qu'il peut enregistrer (et que tu dois fournir à la justice en cas de requete) c'est : adresse ip locale source (identifiant associé) => adresse ip de destination et heure des connexions.

Pour faire ça toi-même tu doit être declarée à l'arcep et à la cnil  en tant que fournisseur d'accès.
ou faire appel aux services d'un professionnel déclaré comme eux : http://www.q-spot.eu/assistance/legislation-wifi/

Modifié par L33thium

Partager cette publication


Link to post
Share on other sites
On 14/07/2017 at 03:14, L33thium a écrit :

faire appel aux services d'un professionnel déclaré

@L33thium tu m'annonce me rendre sur un service dédié, c'est bien qu’il y a possibilité de gérer tout ce que j'ai cité. Non ?

 

Si ça se joue à des déclarations, ça se fait...

Je suis moi-même 'professionnel', mais, malheureusement, à ma dernière formation je suivais la gestion de proxy en http... et je suis en galère pour trouver cette gestion de l'https qui se fait bel-et-bien sur les hotspot, j'en fait les frais lorsque je les test...

Partager cette publication


Link to post
Share on other sites

si un hotspot te fait passer par un proxy pour https tu est donc obligé de vider ton cache et tes cookies pour que ça marche. et sur google.com dans la barre d'adresse tu ne vois plus plus le certificat de google inc mais celui du prestataire du hotspot.
Tu me parle bien de ça ?

parce que le proxy dispose de son propre certificat ssl. deux connexions ssl sont négociées dans ce cas. une entre le poste client et le proxy et une entre le proxy et le site cible.
Pour que le proxy puisse déchiffrer et stocker les données.

En entreprise on peut faire ça que pour les postes fixes du batiment, pas les byod puisqu'il faudrait revoquer toutes les sessions à l'entrée et à la sortie du réseau.

Partager cette publication


Link to post
Share on other sites

Grosso modo oui. Tu l'as compris, il s'agit de renegocier les certificats SSL.

Qu'appelles-tu "révoquer toutes les sessions à l'entrée et à la sortie du réseau." ?

Partager cette publication


Link to post
Share on other sites

parce que hsts empêche le changement de certificat.

Si tu a été connecté une fois sur google.com en direct avec le certificat ssl de google donc, tu aura une erreur de sécurité qui bloquera l'accès au site quand tu passera sur ton proxy avec un autre certificat ssl.

Le seul moyen de passer outre l'alerte est de vider le cache et les cookies du navigateur à chaque changement.

https://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Partager cette publication


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now