La mise en place d’un hotspot, c’est à dire un point d’accès WiFi, impose de bien étudier la gestion des utilisateurs, de façon à ne pas donner un accès libre à n’importe qui, et à être en conformité avec les lois Sarkozy aboutissant à un flicage pur et simple de tout ce qui transite par votre accès sans fil : c’est dit clairement, mais c’est ainsi, vous devez être en mesure de fournir les logs, c’est à dire le carnet de bord, de votre installation si elle est ouverte au public !!

Nous avons cherché plusieurs solutions, avec leurs avantages et leurs inconvénients :

  • Point d’accès avec imprimante à ticket : limité, souvent aucune gestion de log, coût parfois exorbitant, pas d’extension possible du signal WiFi ou avec certaines difficultés.
  • Point d’accès avec firmware modifié : simple à priori mais relativement coûteux et lié à UNE solution, à UN modèle de point d’accès. Pas question d’en changer par la suite, vous ne pourrez pas évoluer si une nouvelle norme WiFi apparait…
  • Gestion d’accès avec ordinateur : bon marché en utilisant du matériel recyclé, évolution possible du firmware, puissant avec un disque dur important, capable de gérer des logs, parfois bruyant, consommateur d’électricité, et rempli de pièces mécaniques mobiles (sources de pannes)
  • Mini-ordinateur avec firmware embarqué sur carte mémoire : aucune pièce mécanique (= moins de risques de pannes), évolution possible du firmware, TRÈS compact, TRÈS peu énergivore, intégration possible du module WiFi, plusieurs ports Ethernet.

Nous avons donc retenu deux solutions, l’une avec ordinateur qui vous a déjà été présentée dans nos colonnes, la seconde avec un mini-ordinateur, pas encore détaillée mais tout aussi intéressante pour qui ne veut pas s’ennuyer avec un système informatique complet et complexe.

Faisons donc les présentations avant de vous présenter le synoptique du système. Voici pour commencer le matériel de base, une carte mère informatique, miniaturisée :

Vous noterez les 3 ports ethernet sur la gauche, deux ports usb en bas à gauche, un emplacement pour mini-PCI, un emplacement pour carte Compact Flash, un connecteur RS232, une alimentation 12 à 18 Vcc. Pour les plus audacieux, un port IDE permettra d’ajouter encore plus de puissance, mais croyez-moi, vous n’en aurez vraiment pas besoin !

Bien entendu, nos clients ne verront pas tout cela, le produit vous est livré avec un superbe boîtier, une alimentation, et tous les cordons nécessaires pour sa mise en service 🙂

Ajoutons la carte Compact Flash (CF) avec un firmware adapté, et le système est prêt à fonctionner : il démarre en quelques secondes, sans aucun bruit, et est immédiatement prêt à l’emploi !

Il est maintenant temps de relier notre firewall, puisque c’est là la fonction essentielle du système, en plus d’une gestion d’accès clients, un filtrage de ports, etc. Voyons le synoptique du montage à réaliser :

Rien de très sorcier : vous reliez le firewall à votre arrivée internet d’un côté, à votre point d’accès WiFi de l’autre (nous avons choisi ici une Nanostation2), et éventuellement à un réseau informatique qui fonctionnera lui sans aucun filtrage, sans restriction, ce qui s’appelle en terme plus technique la DMZ, ou Zone Démilitarisée en français dans le texte.

Les PC clients représentés sur le schéma sont ceux des utilisateurs de votre accès WiFi, utilisateurs dont les demandes de connexion seront interceptées par notre Firewall :

  • “Halte là, qui va là ?”, demande le firewall
  • “login dupont, mot de passe machinbidule”, répond le PC client
  • Le firewall consulte sa base de données utilisateurs interne, trouve “dupont”, vérifie le mot de passe fourni, conforme, et répond : “vous avez l’accès à internet, bon surf, je vous redirige sur la page que vous avez demandée initialement !”

Bon d’accord, un dialogue un peu niais si vous connaissez le fonctionnement et si le réseau informatique n’a plus aucun secret pour vous, mais pensez aux autres, soyez sympas 😉 En fait c’est très simple, du moins pour ce qui concerne les accès, car cela se corse (comme à Bastia…) lorsqu’il faut enregistrer le trafic qui transite par votre firewall…..

Oui, le log va indiquer qui s’est connecté, avec quelle adresse IP, quelle adresse MAC a son ordinateur, sur quelle adresse IP il est allé, quel port, à quelle heure, etc. Un vrai flicage, je ne vous ai pas menti au début de ce sujet, hélas.

Donc pour répondre aux exigences des lois Big Brother actuelles, il vous faudra retenir ces informations. Oh bien entendu, pas question de laisser votre pauvre carte flash s’en charger, elle ne tiendrait pas le choc très longtemps. Nous allons donc faire appel à un serveur SYSLOG, chargé de récupérer les LOG du SYStème.

Ce serveur peut être un serveur linux, un serveur Windows, un serveur dédié hébergé quelque part, bref tout système informatique accessible 24/24 avec une fiabilité digne d’une BMW Série 3 (j’en fais trop, je sais 😉 ).

A chaque “évènement”, notre firewall va donc s’adresser au serveur que vous lui aurez indiqué, et lui enverra ses informations, en bon surveillant de réseau qu’il est. A charge pour vous ensuite de faire le tri et de présenter ce log sur requête expresse des autorités si jamais l’un de vos utilisateurs, terroriste en puissance comme il se doit, avait eu des pensées nauséabondes contre le pouvoir en place ou pire encore ;-);-)

Si vous êtes intéressés par ce genre de mise en place, n’hésitez pas à nous contacter, nous pourrons étudier ensemble la solution la plus adaptée à vos besoins.

Un prochain article traitera de ce serveur syslog, en vous présentant quelques exemples détaillés.