Sécuriser livebox dans une location - Sécurité - Réseaux grand public / SoHo
Marsh Posté le 13-10-2012 à 12:14:25
companyman a écrit : On en a discuté, je lui ai suggéré de la mettre dans un coffret mural qui ferme à clé, ne serait-ce que pour éviter que quelqu'un ne branche un téléphone en RJ11 pour appeler des numéros surtaxés ou à l'étranger. |
Dommage pour le téléphone, enfin bon le coffre mural fermé à clé devra être en plastique pour ne pas bloquer le WiFi
companyman a écrit : En plus en bloquant les prises RJ45, je pense que ça découragera également ceux qui souhaiteraient éventuellement faire du DL massif... L'idée de base est donc de ne proposer que du wifi, pour rendre service aux gens qui veulent récupérer leur mails, surfer, profiter de leur smartphone - mais pas de leur permettre de faire des trucs illégaux avec. |
Hi hi hi, ah ah ah... tu crois qu'en bloquant au seul WiFi cela suffira à bloquer le téléchargement "massif" ? C'est beau d'y croire
companyman a écrit : - mon beauf' ne souhaite pas investir dans un matériel supplémentaire (genre serveur proxy ou truc du genre). |
Dans ce cas, autant qu'il arrête tout de suite son installation, comme toutes les box des FAI, aucune n'est "compatible" Hadopi dans le sens où aucune ne permet d'origine (ou même en bloquant les ports) de "sécuriser" suffisamment pour son usage.
Il lui faut un proxy, ne serait-ce que pour avoir les logs des sites consultés depuis telle ou telle machine à telle date.
En tant que fournisseur d'accès, il sera tenu pour responsable si, à défaut de télécharger, un de ses clients visualise de la pédophilie et j'en passe pour le terrorisme (je vise au plus haut exprès)
Pour une quarantaine d'euro, il pourrait déjà se prendre un DAP-1160 comme routeur/point d'accès WiFi, à installer sous DD-WRT pour bloquer un peu au niveau P2P.
Mais pour du vrai log bien correct, propre et légal, il faudrait un WNR3500L à 80€, et installer un proxy transparent avec un enregistrement sur une clé USB.
Marsh Posté le 13-10-2012 à 13:50:50
bardiel a écrit : |
Bah évidemment
Voire aéré...
bardiel a écrit : |
Nan, encore une fois je sais bien que vu comment c'est barré, le risque 0 est impossible à atteindre.
La démarche vise essentiellement Mr Michu, le français moyen, ou son ado qui les accompagne en vacances ; elle est presque uniquement dissuasive :
1/ cool y'a l'ADSL... enfin bon, 1Mo...
2/ ah ben zut, pas accès aux ports RJ45, va falloir tout faire en wifi...
3/ ah ben rezut, faut signer une décharche pour avoir le MdP du wifi, ça veut dire qu'on va savoir que c'est moi...
bardiel a écrit : |
Encore une fois, je lui ai expliqué et il est bien conscient que la version bulletproof n'est pas envisageable.
D'autant qu'étant à 500 bornes de là, impossible de se déplacer au moindre pépin pour tout redémarrer ou reconfigurer.
Il faut juste que ce soit suffisamment disuasif pour le quidam moyen.
Je me disais qu'il y avait peut-être des options directement sur la livebox, genre filtre parental & co.
Pour l'enregistrement de logs, c'est pas con, mais ça oblige aussi à enfermer le routeur et la clé usb avec le reste...
Marsh Posté le 13-10-2012 à 15:20:26
Bon, à bien y réfléchir, le plus simple serait carrément de virer la box pour la remplacer par un routeur compatible dd-wrt. En plus ça règle le souci de la téléphonie, il n'est pas obligé de l'enfermer.
Le WNR3500L est trouvable aux alentours de 60€, ça peut être un bon plan.
Cela dit, j'en étais resté aux "restrictions" basiques permises par le firmware dd-wrt (blocage par protocole, par mots-clé ou par url), je ne connaissais pas du tout le "transparent web proxy". Je vais me pencher dessus
Marsh Posté le 13-10-2012 à 19:23:50
A priori le seul problème c'est d'un point de vue responsabilité si j'ai bien suivi ?
La location se fait de telle date à telle date. Il suffit (AMHA) de rajouter une clause dans le contrat de location indiquant, comme tu l'as précisé, qu'il prend la responsabilité de l'utilisation qui est faite de l'accès durant cette période (avec copie de carte d'identité, mais je suppose que vous la demandez déjà). Derrière, téléchargement massif ou autre chose, c'est le locataire qui en sera responsable.
Tu colles cela en WPA2 et le mot de passe, tu le changes à chaque location.
Il y a un topic juriste dans discussion, tu peux poser la question là bas.
Marsh Posté le 13-10-2012 à 19:30:42
o'gure a écrit : La location se fait de telle date à telle date. Il suffit (AMHA) de rajouter une clause dans le contrat de location indiquant, comme tu l'as précisé, qu'il prend la responsabilité de l'utilisation qui est faite de l'accès durant cette période (avec copie de carte d'identité, mais je suppose que vous la demandez déjà). Derrière, téléchargement massif ou autre chose, c'est le locataire qui en sera responsable. |
Hmm c'est le propriétaire de la ligne qui sera de toute manière inquiété
Mais c'est vrai qu'une réponse des juristes sera utile.
Marsh Posté le 13-10-2012 à 20:18:58
bardiel a écrit : Hmm c'est le propriétaire de la ligne qui sera de toute manière inquiété |
La demande arrivera chez le proprio qui aura tous les éléments pour rediriger vers le responsable.
Marsh Posté le 13-10-2012 à 21:16:47
Oui, c'est pas faux... en théorie.
En pratique, les autorités se retournent vers le titulaire de la ligne, et ensuite, advienne que pourra... Dans le meilleur des cas, ils prêtent oreille aux explications du propriétaire, et si le locataire reconnaît les faits, mon beauf' est tiré d'affaire. Par contre, s'il nie, c'est la mouise, aucun document qu'il aura pu lui faire signer n'ayant de réelle valeur juridique.
Cela dit, le plus simple serait de pouvoir éviter d'en arriver là.
Si un proxy, ou la mise en place d'un hotspot du type "portail captif" peut permettre de brider la connexion et/ou de tracer tout ce qu'il s'y passe, j'avoue que ce serait plus rassurant...
Marsh Posté le 15-10-2012 à 16:49:49
Le plus adapté est un routeur compatible WPS, qui évite de donner la clé wifi. Un code d'accès court est plus simple à changer et diffuser/mémoriser qu'une clé d'une 30aine de caractères. Et tu limites la puissance du signal pour qu'on ne capte que dans la location
Marsh Posté le 15-10-2012 à 18:11:57
Bah en fait, je suis plutôt en train de l'orienter vers une solution à base de désactivation du wifi de la livebox + ajout d'un routeur qui servira de hotspot.
Certains services (genre worldnet) paraissent intéressants, l'idée est toujours de rendre ça gratuit pour les locataires et législation compliant...
Marsh Posté le 13-10-2012 à 11:22:44
salut,
mon beau-frère souhaite proposer dans une résidence qu'il loue un accès internet à ses clients ; la maison est en effet mal desservie en 3G/Edge, et comme il vise des prestations "haut de gamme" et qu'il a déjà eu à plusieurs reprises cette idée en guise de suggestion, il s'est dit que... Bref, c'est son choix, il a fait ses calculs et décidé de prendre une livebox, qui est arrivée sur place cette semaine et qu'on doit brancher dans 15 jours (oui, c'est en province et nous on est en RP).
On en a discuté, je lui ai suggéré de la mettre dans un coffret mural qui ferme à clé, ne serait-ce que pour éviter que quelqu'un ne branche un téléphone en RJ11 pour appeler des numéros surtaxés ou à l'étranger. En plus en bloquant les prises RJ45, je pense que ça découragera également ceux qui souhaiteraient éventuellement faire du DL massif... L'idée de base est donc de ne proposer que du wifi, pour rendre service aux gens qui veulent récupérer leur mails, surfer, profiter de leur smartphone - mais pas de leur permettre de faire des trucs illégaux avec.
Ma question, c'est donc la sécurisation de ce réseau, une fois que le mot de passe wifi aura été dévoilé aux clients (contre une pseudo-décharge disant qu'ils reconnaissent que c'est eux qui seront ennuyés en cas de poursuites, c'est bidon mais ça peut bien en décourager quelques uns).
Parce que le truc, c'est que :
- je ne connais pas les livebox (freebox et neufbox oui, mais livebox, jamais eu) ;
- il n'y aura pas de PC de supervision sur place ;
- mon beauf' ne souhaite pas investir dans un matériel supplémentaire (genre serveur proxy ou truc du genre).
Donc, à votre avis, les mesures de bases ? Y'a un moyen via l'interface de la LB de filtrer les contenus ? Limiter l'utilisation au port 80 ? etc.
Je suis bien conscient qu'aucune solution partant de ces postulats ne sera parfaite, mais bon, si on peut déjà décourager la plupart de ceux qui auraient l'idée...
Merci de votre aide !
---------------
mon feed-back