Proxy sur hotspot wifi d'hôtel ou restaurant en 2017

Proxy sur hotspot wifi d'hôtel ou restaurant en 2017 - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 12-07-2017 à 12:51:52    

Bonjour,
 
Je cherche à mettre en place un proxy qui offre la possibilité de mettre un portail captif et qui sait gérer le protocole TLS (https). Et malgré toutes mes recherches, je n'ai pas trouvé plus d'informations qu'un serveur proxy type Squid, malheureusement, celui-ci reste à configurer dans les paramètres navigateurs internets...
 
La question se pose donc du côté software. Quel OS me permettrai de réaliser cela ?
 
 
D'avance,
raphpitt

Reply

Marsh Posté le 12-07-2017 à 12:51:52   

Reply

Marsh Posté le 17-07-2017 à 15:24:19    

Attention je suis loin d'être un expert et je vais répondre un peu a coté de la plaque...
 
Ceci dit pour les restau que j'équipe je me suis tourné vers le couple hard/soft d'ubiquiti : leur cloud key ne coute pas grand chose et te permet de faire un portail captif un peu comme tu veux sans trop t'arracher les cheveux


Message édité par guigui_as-de-pique le 17-07-2017 à 15:25:10
Reply

Marsh Posté le 17-07-2017 à 15:32:44    

@guigui_as-de-pique merci pour ta contribution mais je ne cherche pas de prestataire...

Reply

Marsh Posté le 17-07-2017 à 16:11:08    

Ah ce n'était pas du tout l'idée de mon message. Le cloud key d'ubiquiti est un proxy qui permet de faire un portail captif et qui gère le TLS, ça coute même pas 100€ et ça tourne très bien de plus la marque est très généreuse en documentation ce qui te permet de tout faire toi même.  
 
Je disais que je vais répondre a coté de la plaque parce que ça nécessite d'avoir des AP de la même marque et que si tu pose la question j'imagine que les AP sont déjà en place et que t'as pas forcement envie d'acheter du nouveau matos. Moi j'ai choisis cette marque justement parce que je n'arrivai pas a trouver une solution satisfaisante pour faire des hotspot de qualité sans me poser trop de questions. En aucun cas je ne cherchais a me placer de quelques manières que ce soit.

Reply

Marsh Posté le 17-07-2017 à 16:24:45    

@guigui_as-de-pique je comprends tout à fait. Malheureusement, le système que tu cites ne me permet pas de filtrer quelconque IP/domaine ou autre protocole...  
 
Face aux difficultés que je rencontre avec filtrage en HTTPS, le portail captif n'en n'est rien... Disons que le portail captif est, pour moi, secondaire, et que je mets toute mon attention sur le filtrage de protocole TLS/SSL en hotspot publique


Message édité par raphpitt le 17-07-2017 à 16:25:29
Reply

Marsh Posté le 17-07-2017 à 16:38:20    

un petit pfsense sur du linux ? Sinon, pour la partie portail captif pure et dure, on utilise les box telmat. tarif sympa, fonctionnalité aux normes, pas compliqué.
Voir aussi si tes AP ne comprendrait pas déjà une version de portail (généralement light) captif.  
 
Après, faut voir ce que tu veux en faire....le mettre à dispo des utilisateurs externes avec authentification ou non, juste pour les employés, y a des AD / Ldap sur tes sites, si quelqu'un doit gérer des comptes utilisateur manuellement, etc, etc.....et voir l'aspect légal assez nébuleux sur le sujet.
Squid est un très bon proxy, mais si ton réseau se limite à un switch, en effet, c'est pas vraiment ça. (sur un AD, tu t'emmerde pas, tu descends tes paramètres via GPO, tu fais le wpad pour la conf auto, ce ne sont pas les solutions qui manquent.) et tu colle un pfsense pour la partie captive pure et dure. Y a des tuto pour faire vivre les deux ;) Mais pour moi, proxy et portail, c'est 2 trucs séparés.
 
 

Reply

Marsh Posté le 17-07-2017 à 16:50:21    

@saarh pfsense + squid ferait un bon proxy, j'en suis certain. Mais ces configuratios sont dédiés aux entreprises, car elles nécessitent de configurer les navigateurs. Or, dans un restaurant, on est sur du réseau publique et se sont des personnes sans ces connaissances qui s'y connectent...


Message édité par raphpitt le 17-07-2017 à 16:50:53
Reply

Marsh Posté le 17-07-2017 à 17:45:34    

Tourne toi simplement sur des solutions Hot Spot natives: ZYXEL UAG2100/ UCOPIA etc.. et tu couple cela avec des routeurs UTM filtrage http et https tel que les zyxel gamme USG

Reply

Marsh Posté le 18-07-2017 à 09:14:12    

OK, donc pas de serveur, rien du tout, quoi ;) Donc oui, le plus simple resteront les solutions "all in one", telmat, ucopia, zyxel etc. Surtout que sur plusieurs box, je pense que tu pourras négocier un peu les tarifs. Sinon, des proxy ne nécessitant pas un minimum de paramétrage réseau en amont, je ne connais pas...

Reply

Marsh Posté le 18-07-2017 à 09:18:09    

@shad19 @saarh si des prestataires arrivent à faire tout ce que j'ai cité, c'est que c'est faisable. Non ?
 
Pourquoi eux y arrivent-ils et nous non ?

Reply

Marsh Posté le 18-07-2017 à 09:18:09   

Reply

Marsh Posté le 18-07-2017 à 09:59:01    

Pareil je ne suis pas du tout un spécialiste, mais je n'arrive vraiment pas à comprendre ce que tu veux faire ...

 

Edit : Un serveur proxy squid en mode Transparent (donc sans conf sur les clients) ça doit bien pouvoir se faire :)


Message édité par ChaTTon2 le 18-07-2017 à 10:03:32

---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 18-07-2017 à 10:40:47    

raphpitt a écrit :

@shad19 @saarh si des prestataires arrivent à faire tout ce que j'ai cité, c'est que c'est faisable. Non ?
 
Pourquoi eux y arrivent-ils et nous non ?


 
On y arrive aussi, avec un ensemble pfsense + squid + compétences + réseau que tu gère de A à Z + quelques heures (jours) douloureuses de paramétrage si tu n'as pas l'habitude. Si eu y arrivent et en font des p'tites boites toute faite, c'est juste qu'ils ont des dev dont c'est le métier, de la R&D, et des compétences poussées au sein d'une équipe (un pro du réseau, un intégrateur hard, un crack de linux, etc, etc). Ce ne sont pas des prestataires. Ucopia, Telmat, & Co, vendent des boites prète à l'emploi. Tu n'achète pas une prestation, mais un matériel dédié. Pour moi, un presta, c'est un gars que je paie 900€ la journée pour venir chez moi faire quelque chose que je ne maitrise pas. Là, c'est pas de la presta, tu achète un matériel que tu installe et gère toi même.
A la base, dans ces machines, y a pas de secret. C'est un linux modifié et blindé à leur sauce intégrant les logiciels cités plus haut, un apache pour un accès web sympa, etc. Tous les constructeurs font ça. (et ils s'arrangent même, cerise sur le gateau, pour que l'ensemble respecte la législation en vigueur sur les hotspot publique....enfin....selon interprétation des lois)
 
ChaTTon, oui, on peut rendre un squid "transparent", en quelque sorte (pas d'authentification sur user, pratique),  en jouant sur des rêgles IP. (autoriser un segment réseau à accéder, etc) mais ça n'empêchera pas de devoir définir le proxy dans les paramètres, ou modifier des paramètres réseaux (passerelle.....) Faut bien à un moment dire à la machine qu'elle doit passer par lui ;) (et sans AD, ou "vrai" réseau, ben.....) ou faire du routage en amont du service squid pour rediriger des flux sur lui.
et paramétrer la box pour bien sur, n'accepter que les connexions venant de lui.....


Message édité par saarh le 18-07-2017 à 10:44:56
Reply

Marsh Posté le 18-07-2017 à 12:24:06    

@ChaTTon2 @saarh , disons que j'ai un manque de vocabulaire, et, un manque de connaissance avec le sujet des proxy filtrant en HTTPS..
 
Je n'ai pas de date précise étant donné que je suis entrain d'apprendre et de chercher... Donc, pas de soucis avec la difficulté et le temps. Je prends mon temps, donc, même si je mets des semaines, ça me va.
 
Voilà pourquoi, d'un côté, je ne veux pas de boîte/box pré-faite... Je n'aurai rien appris de plus. C'est pas ce que je cherche en fait.
 
Je suis la pour pousser mes connaissances, et rien ne m'avance avec Google non plus.. je ne trouve rien de bien concret et je ne sais vers quoi m'axer au niveau du software/os et des packages


Message édité par raphpitt le 18-07-2017 à 12:31:58
Reply

Marsh Posté le 18-07-2017 à 12:35:42    

C'est un projet pour les études j'imagine ? Ce que vous cherchez c'est un portail captif.
Après je ne sais pas vraiment quel est le besoin de filtrer absolument les flux cryptés mais ça nécessite d'intercepter le traffic, le décrypter et le re crypter derrière, donc ça va émettre des erreurs sur tous les périphériques qui tentent de l'utiliser, sauf s'ils ont le certificat de la passerelle qui fait tout ça installé en local (ce qui ne sera jamais le cas sur un réseau public)
Par défaut, je me dirigerais + sur de la sécurité au niveau DNS type OpenDNS pour ça.


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
Reply

Marsh Posté le 18-07-2017 à 13:05:07    

@CK Ze CaRiBoO , non pas vraiment, on pourrait dire que ça suit le cours de ma dernière formation qui portait sur les proxy et filtrage en HTTP.
 
Clairement, je comprends pas la question du pourquoi un filtrage... Je ne me vois pas laisser un client, imaginons dans un snack, utiliser "la wifi", par exemple, pour regarder du porno et compagnies à côté d'enfants, et même, rien qu'au niveau du peer-to-peer... Impossible de laisser une connexion comme ça... Un portail captif c'est un portail captif... à la rigueur laisser seulement un log pour un hôtel ça se comprend, mais là le but est claire...

Reply

Marsh Posté le 18-07-2017 à 15:17:56    

Sur les solutions de ce type tu as plusieurs problématiques à prendre en compte pour du Hot Spot, et la plus grosse" le débit" nerf de la guerre.
 
Donc le filtrage peut être important, autoriser de la bande passante pour du porno au lieu de streaming propre pas terrible ^^. Après j'ai rencontré le cas ou le client a demandé d'ouvrir le porno, car baisse de fréquentation xD
 

Reply

Marsh Posté le 18-07-2017 à 16:50:55    

un portail captif n'empêche en rien d'aller voir du porno, hein. il ne fait que cloisonner les connexions faites à ce réseau du reste du réseau d'une société. du coup, je n'en vois même pas l'intéret dans ton cas, sauf à fournir un accès guest à des clients si il y a des choses sensibles sur le réseau actuel (hotel, avec un petit serveur, par exemple....et là, faudra s'amuser avec des vlan, etc). Après, oui, on fait des rêgles. Via le proxy (y a assez de blacklist pour empêcher le X, les sites foireux, des domaines particuliers, etc), via un firewall (hard ou soft ! là, tu bloqueras et débloqueras ce que tu veux dans tous les sens en terme de protocole, port, etc)
 
Après, c'est louable de vouloir faire ça tout seul, y a pas de soucis. Je le comprends très bien. On te dit que c'est possible de le faire, sans problème aussi. Après, ici, pas mal raisonnent en milieu entreprise. Donc avec une infra derrière offrant de la souplesse, des ressources, et du matos. Là, on ne sait pas trop ce que tu as, combien de personnes, quel matos à disposition, login / pas login, filtrage https...ça veut dire quoi ? Clairement, sans utiliser de mot technique, tu veux filtrer quoi et pour qui ? Employés ? client de restau ? juste une notion de blacklist + certain protocol genre p2p ?  
 
Aujourd'hui, ils font quoi ? ils se connectent directs en dhcp sur une box ? Ben demain, ils se connecteront en dhcp à ton portail captif, ou au contrôleur qui gèrera tes AP, tu redescendras donc TOI ce que tu veux en paramètres réseau ! Donc ou est l'impossibilité technique de passer par les logiciels déjà cité ? (on s'en fout du paramétrage du proxy dans le navigateur^^) Faut juste que tu te monte un poste en debian ou redhat, et en avant ! De toute façon, faudra que les client se connectent autre part que sur la box actuelles ^^ ça ne pourra pas se faire sans un minimum de manip. (et là, franchement, elles sont minimes pour eux.....juste se connecter à un autre réseau wifi ;) après, c'est à toi de bien faire le taf)

Reply

Marsh Posté le 18-07-2017 à 18:16:32    

@shad19 je doute pas une seconde que le débit est primordial. L'Université de Toulouse, par exemple, offre une belle blacklist, je vais la suivre tout en l'adaptant au type d'établissement.
 
Du porno pour augmenter la fréquentation, oui pourquoi pas dans un hôtel... ahah
 
@saarh le portail captif est complétement facultatif, je connais son utilité... mon but est plus marketing qu'autre chose, capter la première connexion sur une page avec des infos sur l'établissement (un portail captif à la manière hotspot McDonald's, donc pas de login:pass)
 
Aujourd'hui, je suis dans l'apprentissage, donc j'ai des vm c'est déjà ça pour la configuration (le gros du gros) et ça me suffit tant que je suis cette optique, une belle blacklist + protocole type p2p c'est largement suffisant pour un snack (connexion byod max de 45min).
 
Je me lance de suite sur pfsense + squid :)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed