Sécurité Hotspot par application(s) libre(s)

[20978M]

Bonjour à toutes et à tous,

Je suis actuellement chargé de mettre en place un hotspot Wifi pour une organisation, qui sera totalement ouvert (ni clé wep, ni authentification).

Comme vous le savez, la loi antiterroriste impose pour une telle mise à disposition des mesures minimales de sécurité, allant jusqu'a l'authentification.

Cependant, pour être juridiquement carré, il suffit de conserver des logs de connexion, avec sites web visités, adresse IP interne. (Ce qui ne servirait pas à grand chose dans une eventuelle enquète, je vous l'accorde...).

Ma question est donc la suivante, existe t'il des solutions logicielles sous Linux permettant de positionner la machine sur le réseau de façon à conserver des logs de ce type, et eventuellement de filtrer (P2P, Porno, réprehensible...). Cette machine devra pouvoir s'integrer au réseau de manière transparente, sans qu'elle soit un serveur proxy, un peu à la manière d'un boitier de ce type :

http://www.fortinet.com/products/telesoho.html

(Voir la description dans le fichier PDF en PJ).

Merci.

Cordialement.

[gorgonite]

connais-tu le principe du proxy transparent ?
pour filtrer les sites web utilisés, tu peux mettre un système de controle parental (dansguardian) ou un système à blacklist (squidguard)

lis ceci :
http://gorgonite.developpez.com/tuto...ux/passerelle/


en ce qui concerne les autres accès à internet (ftp, etc), tu peux filtrer les ports au moyen d'un NAT... et ainsi bloquer le p2p, et tout ce qui ne semble pas acceptable

[20978M]

Merci, c'est exactement le genre de solution que je recherchais !

Cependant la mise en oeuvre me parait longue et compliquée (c'est relatif bien sûr...), en tous cas pour quelqu'un comme moi, pas vraiment habitué à Linux bien qu'informaticien, et n'ayant pas trop de temps à consacrer à cette tâche.

À combien de temps évalueriez vous la mise en place d'une distrib Debian + ce proxy transparent + filtrage et logs web, pour quelqu'un n'ayant quasiment aucune connaissances à linux ?

Merci.

EDIT :
Je suis en train de télécharger la Debian, 3 DVD, ce n'est pas un peu beaucoup ???

[gorgonite]

Citation:

Envoyé par 20978M

À combien de temps évalueriez vous la mise en place d'une distrib Debian + ce proxy transparent + filtrage et logs web, pour quelqu'un n'ayant quasiment aucune connaissances à linux ?

pour moi, je dirais une après-midi (3-4h) pour être sûr de la mise en prod... pour un débutant, je dirais une journée le temps de bien tout comprendre

au passage, est-ce qu'il va falloir gérer le Wifi depuis le serveur, ou y aura-t-il une borne qui sera connectée sur une des interfaces réseau du serveur ?

Citation:

Envoyé par 20978M

Je suis en train de télécharger la Debian, 3 DVD, ce n'est pas un peu beaucoup ???

on n'est pas obligé de le faire sous debian, qui au passage à une version netinstall de 200 Mo

prends la distribution avec laquelle tu es le plus à l'aise, et qui possède un gestionnaire de paquets allant chercher sur internet (debian, fedora, mandriva, suse, gentoo, etc)

[20978M]

Honnetement je commence à me décourager pour la version Linux. Surtout que j'ai trouvé qu'il existe une version Windows pour Squid c'est plus fort que moi...

Le Wifi n'est pas à gérer sur le serveur, tout est déja geré par un réseau d'entreprise assez compliqué comme ça... D'ou la necessité d'un proxy transparent.

Je pense que je vais essayer de mettre squid en proxy transparent sous une machine Windows. D'après ce que j'ai compris Squid dispose quand même d'une interface web pour le configurer ? (Une fois que l'installation de base est correctement effectuée bien sûr).

[20978M]

Bonjour,

Je reviens toujours pour cette mise en place. Voilà où j'en suis :

J'ai réussi à installer Squid sur Windows, à la configurer et le faire tourner en tant que service, et ça marche trés bien

Donc maintenant pour chaque machine je peux mettre dans le navigateur la machine squid en tant que proxy, et ça marche.

Mais il faut absolument que je le fasse marcher en mode transparent (donc dans les propriétés IP des machines mettre l'IP de la machine Squid en tant que passerelle et DNS).

N'ayant pas trouvé comment faire ça avec squid. J'ai essayé ceci : http://www.dfr.ch/fr/proxy.html qui avait été suggeré sur ce même forum dans un autre topic, mais cette appli ne marche ni en java ni en service windows, bien que j'ai bien défini tous les paramètres et tester toutes les solutions possibles.

Sauriez vous comment je pourrais faire pour que cette machine devienne proxy transparent. Quand cela marchera ce que j'aurais a renseigner dans mon serveur DHCP pour les propriétés IP c'est bien passerelle et serveur DNS = machine Squid ?

Merci.

[MightyDucks]

Bonsoir,

Il faut utiliser des règles de routages NAT-PAT.

Sur windows server, il faut créer un routeur logiciel dans la console routage et accès distant.

Le mieux étant vraiment d'utiliser linux pour disposer de l'outil iptable.

Voici un site qui t'expliquera en détail les possibilités de la combinaison squid / iptable : http://christian.caleca.free.fr/squi..._sur_squid.htm

[20978M]

Merci pour l'indication pour Windows (ma machine était en XP, la console routage n'y existe pas je pense).

Je suis finalement revenu sur une solution linux. J'ai donc installé ubuntu (ben oui je débute ), et j'ai essayé d'entrer cette commande : sudo apt-get install squid (qui est dans le tuto auquel tu fais référence). Mais ça ne fonctionne pas. Le paquetage ne doit pas être fourni par défaut. Pas grave j'essayerais de me débrouiller...

Cdt.

[MightyDucks]

Ce problème vient peut être du fait que la liste des paquets n'est pas à jour.
Pour y remédier un petit sudo apt-get update mettra à jour la base des paquets.