Installation réseau Wifi et sécurité

Installation réseau Wifi et sécurité - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 21-03-2012 à 13:58:26    

Bonjour à tous,
 
Je vous explique mon probleme..
 
Mon oncle, possède un petit hotel  (Une dizaine de chambres) et ayant une licence informatique, il me demande de lui installer un réseaux en wifi pour les clients.
 
Histoire de gagner de l'expérience, je voudrais le lui mettre en place.
 
Cependant, par rapport à la loi HADOPI, j'ai vue qu'il fallait un systeme de sécurité qui permettre d'enregistrer les logs et  également d'empecher le téléchargement illégal ainsi que les sites pornographiques, pédophiles, etc.
 
Il a une livebox situer au point A, qui est éloigné de la chambre la plus loins à la verticale d'environs 60m.
 
J'ai pensé la livebox derrière un routeur/firewall (Mais lequel acheté ?), ou bien de mettre un pc sur linux et d'y mettre un logiciel comme Pfsense (ou autre ?).
 
Par ailleurs je voulais relier la box à des amplificateurs wifi (Netgear Amplificateur universel WiFi-N WN3000RP ou autre ?), en ethernet jusqu'au premier pour avoir moins de perte et en wifi pour le second.
 
Pour filtrer, je voulais activer sinon le controle parentale de la box, et mettre en place un niveau de sécurité élevé sur le parefeu de la box mais je doute que ce soit super efficace.
 
Que pourrez vous me conseillez, d'une part en matière de matériel (ampli, point d'accès, routeur/parefeu, ou serveur/parefeu) et d'autre part en matière de solution(pfsense.. ? ... ? Et pensez vous que les amplis wifi ont une bonne émission ? Filtrage niveau 3, filtrage niveau 7 ?
 
J'ai également vue ceci :TP-LINK TL-WA5210G.
 
C'est un point d'accès mais qui fais aussi répéteur, je pourrais en mettre à la place des amplis, si je les branches avec un switch en ethernet et je pourrais également en mettre en extérieur car ils sont étanches.
 
Qu'en pensez vous ?
 
Je suis un peu perdu parce que je n'ai vraiment pas envie de decevoir mon oncle, il compte sur moi..
 
Cordialement
 
Anthony

Reply

Marsh Posté le 21-03-2012 à 13:58:26   

Reply

Marsh Posté le 27-03-2012 à 19:25:53    

il faudrait à minima un proxy et du filtrage d'url pour les accès surf.
 
Pour les accès wifi il faudrait des bornes et un contrôleur wifi pour avoir une conf centralisée.
 
La solution maison est bien pour apprendre,mais le jour où tu n'es plus dispo pour diagnostiquer et configurer ton oncle se retrouvera tout seul avec ses soucis.

Reply

Marsh Posté le 27-03-2012 à 20:04:56    

Ton oncle compte sur toi, c'est sûr. Il compte aussi les sous je pense :D
Dans les hôtels, il n'est pas le seul à faire jouer la famille plutôt que le portefeuille. C'est un sport national pour cette activité :o

 

Si tu ne veux pas qu'il t'appelle tous les matins, ne fais pas dans le bricolage.
Tu places des AP WIFI un peu partout. Tous reliés en filaire à un contrôleur WIFI (comme indiqué par pkc).
Après tu peux filtrer (ou pas, y'a pas à ma connaissance d'obligation pour un public majeur) et journaliser.
Il existe des appliances pour ça.
Sinon tu parles de pfsense, je ne connais pas dans le détail mais un Smothwall te permet cela très bien.
Et tu peux installer ce type de distrib linux sur des barebones type Neo CV763A-4R10C.
Ca te fait la partie routage/firewall et gestion de trois réseaux distincts + le WAN. Pratique pour que les postes de l'hôtel ne soient pas sur le même réseau que les clients ...


Message édité par ShonGail le 27-03-2012 à 20:06:45
Reply

Marsh Posté le 27-03-2012 à 20:13:06    

Je rejoints Shongail : Entre ton accès au net et le réseau de ton oncle, tu places un pc avec 2 cartes réseau et tu installes comme une distrib comme "pfsense + le module squid" par exemple avec une gestion de blacklist et ainsi tu auras un filtrage empêchant les clients d'accéder à des sites sensibles. Les logs d'accès aux sites sont implicites dans la solution "pfsense" et d'autres.
Ensuite tu as d'autres solutions plus honnéreuses qui se basent sur des appliances (bref un boitier avec un solution propriétaire) qui seront capables de faire la même chose mais qui auront aussi la possibilité de faire du filtrage protocolaire (reconnaissances des trames p2p, msn ...etc...).

 

Edit:  et il faut mettre en place de la QOS afin de garantir qu'un client ne pompe pas la majorité de la bande passante.


Message édité par vrobaina le 27-03-2012 à 20:26:26

---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 11-04-2012 à 18:26:44    

Bonjour à tous,
 
Désolé de ne répondre que maintenant j'ai un soucis et je n'ai plus d'ordinateur jusqu'à l'arriver du nouveau...
 
Pour ce qui est de l'hotel à mon oncle je vais mettre donc :  
 
Points accès Ubiquiti x3 209,00 €  
Switch réseau 8 ports PoE 10/100 D-Link DES1210-08P x1 159,00€
Cable cat- droit SPDF x5
LiveBox
Serveur avec pfSense x1 252,54 €
 
Ce qui donnera :
 
 internet --- routeurbox --- pfSense (parefeu/proxy/portail captif/dhcp etc..) --- switch => => =>  AP1, AP2, AP3 --- clients
 
Faut il contacter la CNIL si on enregistre simplement les adresses MAC et l'heure de connexion, juste le necessaire pour prouver quelle personne était connectée à telle heure ?
 
Qu'en pensez vous ?
 
Cordialement,


Message édité par Anto2a le 11-04-2012 à 18:27:18
Reply

Marsh Posté le 11-04-2012 à 18:29:51    

ps : le serveur est :
 
http://www.ldlc.com/b-335284ad9132980a.html
 
Cdt !

Reply

Marsh Posté le 18-05-2012 à 14:12:06    

Pour la CNIL je ne sais pas.
 
Ton sujet m’intéresse beaucoup par contre dans ta config il n'y a pas de disque dur ?
 
Comment fais-tu pour enregistrer les logs ? Un autre PC sous Linux + syslog ?
 
Je suis plus ou moins dans le même cas que toi, j'installe ça dans un établissement de santé.
Pour le moment j'ai configurer pfsense mais je ne vois pas très bien comment gérer les utilisateurs.  
Ça m'arrangerai que les filles de l'accueil puisse créer des utilisateurs avec une interface web simple.
 
Enfin bref un retour d'expérience et de mise en service serait particulièrement apprécié :)
 
Cdt

Reply

Marsh Posté le 21-05-2012 à 17:41:09    

J'ai réalisé mon projet de fin d'études sur la mise en place d'un serveur IPCoP afin de sécuriser le réseau au maximum et de permettre un filtrage d'url automatique (ça permet pas mal de choses assez puissantes qui vont de l'enregistrement de l'activité des utilisateurs, au filtrage d'url, à la fonction d'authentification, anti virus sur la partie http / pop etc.., et évidemment AP Wifi etc.) Personnalisable à souhait car une grosse base de plugins selon les besoins existe sur le net. Pas mal de tutoriels sur le net pour monter une bécane qui tient la route avec un budget inférieur à 50 Euros TTC (faut évidemment avoir un vieux PC à recycler..). C'est le remplaçant de Smoothwall il me semble et ça fait plus ou moins la même chose que PfSense, bref pas mal d'infos sur le net (http://www.gizeek.com/2010/04/26/tuto-proxy-ipcop-filtrage-durl-et-cache-2/)


---------------
«.. Je m'impose un tel contrôle qualité que je suis devenu un produit avec zéro défauts ! ../... »
Reply

Marsh Posté le 22-05-2012 à 08:19:59    

n0b0dY92 : Je vais regarder ça. Il y a la fonction portail captif + sauvegarde des logs ?

Reply

Marsh Posté le 22-05-2012 à 08:48:29    

Attention, Ipcop n'est pas le remplaçant de Smootwall mais un fork de ce dernier.
 
Perso, j'ai commencé par Ipcop puis je suis passé à Smoothwall car le dev d'Ipcop était au point mort.
Je vois qu'une version 2 d'Ipcop est sortie récemment. A tester.
Mais Smoothwall évolue bien et propose de nombreux addons.
 
Pour la partie hardware, ne pas prendre pour du pro ou semi-pro un vieux PC dont chaque composant ne demande plus qu'à mourir après une retraite méritée.
Il faut mieux regarder du coté des barebones type Neo CV763A-4R10C ou idem mais en rackable pour un coffret de brassage.

Reply

Marsh Posté le 22-05-2012 à 08:48:29   

Reply

Marsh Posté le 22-05-2012 à 14:55:37    

ShonGail a écrit :


Pour la partie hardware, ne pas prendre pour du pro ou semi-pro un vieux PC dont chaque composant ne demande plus qu'à mourir après une retraite méritée.


 
Ça dépend combien de PC du même modèle on a en stock.

Reply

Marsh Posté le 23-05-2012 à 20:34:40    

Sinon, pour un prix sans doute supérieur, mais des e**erdes en moins quant un problème viendra, il existe des solutions toutes faites (chez Zyxel par exemple) pour la gestion d'un portail captif et des logs qui vont avec.


---------------
Encore une victoire de canard !
Reply

Marsh Posté le 24-05-2012 à 11:51:32    

bertux a écrit :


 
Ça dépend combien de PC du même modèle on a en stock.


 
Voilà, comme ça pendant qu'on joue au Lego avec son proxy, les clients de l'hôtel vont boire un coup au bar.
Remarque, au moins, avec un hôtel comme client, les multiples interventions sur du vieux matos sont plus pratiques, faut juste négocier une chambre tjs à dispo dans le contrat :D

Reply

Marsh Posté le 24-05-2012 à 16:32:00    

Bon alors j'ai trouvé comment avoir dans Lightsquid les noms d'utilisateurs du portail captif de pfsense. J'ai rien inventé, ça marche avec la version 2.0.1 de pfsense.
Tous est là : http://forum.pfsense.org/index.php [...] l#msg80791
 
Avec un petit screenshot des logs avec le nom de l'admin qui utilise le portail captif.
http://berty2.free.fr/public/Capture%20d%C3%A9cran%20-%2024052012%20-%2011:13:14.png
 
L'avantage d'utiliser pfsense c'est qu'on fait vraiment ce que l'on veut et comme dans notre cas nous avions déjà des bornes cisco déployées dans l'établissement, hop un vlan et ça marche impeccable.
 
J'vais tester cette solution sur une bonne période si ça fonctionne bien je ferais peut-être un petit tuto.

Message cité 1 fois
Message édité par bertux le 24-05-2012 à 16:38:27
Reply

Marsh Posté le 25-05-2012 à 13:41:40    

bertux a écrit :

J'vais tester cette solution sur une bonne période si ça fonctionne bien je ferais peut-être un petit tuto.


 
Ca m'intéresse ! Hésite pas à nous faire un petit feedback une fois que tu as passé le projet en prod ^^


---------------
«.. Je m'impose un tel contrôle qualité que je suis devenu un produit avec zéro défauts ! ../... »
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed