Hotspot : gestion, installation

Parric

La mise en place d’un hotspot, c’est à dire un point d’accès WiFi, impose de bien étudier la gestion des utilisateurs, de façon à ne pas donner un accès libre à n’importe qui, et à être en conformité avec les lois Sarkozy aboutissant à un flicage pur et simple de tout ce qui transite par votre accès sans fil : c’est dit clairement, mais c’est ainsi, vous devez être en mesure de fournir les logs, c’est à dire le carnet de bord, de votre installation si elle est ouverte au public !!

Nous avons cherché plusieurs solutions, avec leurs avantages et leurs inconvénients :

  • Point d’accès avec imprimante à ticket : limité, souvent aucune gestion de log, coût parfois exorbitant, pas d’extension possible du signal WiFi ou avec certaines difficultés.
  • Point d’accès avec firmware modifié : simple à priori mais relativement coûteux et lié à UNE solution, à UN modèle de point d’accès. Pas question d’en changer par la suite, vous ne pourrez pas évoluer si une nouvelle norme WiFi apparait…
  • Gestion d’accès avec ordinateur : bon marché en utilisant du matériel recyclé, évolution possible du firmware, puissant avec un disque dur important, capable de gérer des logs, parfois bruyant, consommateur d’électricité, et rempli de pièces mécaniques mobiles (sources de pannes)
  • Mini-ordinateur avec firmware embarqué sur carte mémoire : aucune pièce mécanique (= moins de risques de pannes), évolution possible du firmware, TRÈS compact, TRÈS peu énergivore, intégration possible du module WiFi, plusieurs ports Ethernet.

Nous avons donc retenu deux solutions, l’une avec ordinateur qui vous a déjà été présentée dans nos colonnes, la seconde avec un mini-ordinateur, pas encore détaillée mais tout aussi intéressante pour qui ne veut pas s’ennuyer avec un système informatique complet et complexe.

Faisons donc les présentations avant de vous présenter le synoptique du système. Voici pour commencer le matériel de base, une carte mère informatique, miniaturisée :

Vous noterez les 3 ports ethernet sur la gauche, deux ports usb en bas à gauche, un emplacement pour mini-PCI, un emplacement pour carte Compact Flash, un connecteur RS232, une alimentation 12 à 18 Vcc. Pour les plus audacieux, un port IDE permettra d’ajouter encore plus de puissance, mais croyez-moi, vous n’en aurez vraiment pas besoin !

Bien entendu, nos clients ne verront pas tout cela, le produit vous est livré avec un superbe boîtier, une alimentation, et tous les cordons nécessaires pour sa mise en service 🙂

Ajoutons la carte Compact Flash (CF) avec un firmware adapté, et le système est prêt à fonctionner : il démarre en quelques secondes, sans aucun bruit, et est immédiatement prêt à l’emploi !

Il est maintenant temps de relier notre firewall, puisque c’est là la fonction essentielle du système, en plus d’une gestion d’accès clients, un filtrage de ports, etc. Voyons le synoptique du montage à réaliser :

Rien de très sorcier : vous reliez le firewall à votre arrivée internet d’un côté, à votre point d’accès WiFi de l’autre (nous avons choisi ici une Nanostation2), et éventuellement à un réseau informatique qui fonctionnera lui sans aucun filtrage, sans restriction, ce qui s’appelle en terme plus technique la DMZ, ou Zone Démilitarisée en français dans le texte.

Les PC clients représentés sur le schéma sont ceux des utilisateurs de votre accès WiFi, utilisateurs dont les demandes de connexion seront interceptées par notre Firewall :

  • « Halte là, qui va là ? », demande le firewall
  • « login dupont, mot de passe machinbidule », répond le PC client
  • Le firewall consulte sa base de données utilisateurs interne, trouve « dupont », vérifie le mot de passe fourni, conforme, et répond : « vous avez l’accès à internet, bon surf, je vous redirige sur la page que vous avez demandée initialement ! »

Bon d’accord, un dialogue un peu niais si vous connaissez le fonctionnement et si le réseau informatique n’a plus aucun secret pour vous, mais pensez aux autres, soyez sympas 😉 En fait c’est très simple, du moins pour ce qui concerne les accès, car cela se corse (comme à Bastia…) lorsqu’il faut enregistrer le trafic qui transite par votre firewall…..

Oui, le log va indiquer qui s’est connecté, avec quelle adresse IP, quelle adresse MAC a son ordinateur, sur quelle adresse IP il est allé, quel port, à quelle heure, etc. Un vrai flicage, je ne vous ai pas menti au début de ce sujet, hélas.

Donc pour répondre aux exigences des lois Big Brother actuelles, il vous faudra retenir ces informations. Oh bien entendu, pas question de laisser votre pauvre carte flash s’en charger, elle ne tiendrait pas le choc très longtemps. Nous allons donc faire appel à un serveur SYSLOG, chargé de récupérer les LOG du SYStème.

Ce serveur peut être un serveur linux, un serveur Windows, un serveur dédié hébergé quelque part, bref tout système informatique accessible 24/24 avec une fiabilité digne d’une BMW Série 3 (j’en fais trop, je sais 😉 ).

A chaque « évènement », notre firewall va donc s’adresser au serveur que vous lui aurez indiqué, et lui enverra ses informations, en bon surveillant de réseau qu’il est. A charge pour vous ensuite de faire le tri et de présenter ce log sur requête expresse des autorités si jamais l’un de vos utilisateurs, terroriste en puissance comme il se doit, avait eu des pensées nauséabondes contre le pouvoir en place ou pire encore ;-);-)

Si vous êtes intéressés par ce genre de mise en place, n’hésitez pas à nous contacter, nous pourrons étudier ensemble la solution la plus adaptée à vos besoins.

Un prochain article traitera de ce serveur syslog, en vous présentant quelques exemples détaillés.

Publications similaires

  • Beijing WiFi respectera la vie privée

    Parblog

    Le gouvernement chinois tient à rassurer les futurs utilisateurs du réseau WiFi My Beijing qui sera prochainement lancé par China Mobile, China Telecom et China Unicom : les utilisateurs seront authentifiés via leur numéro mobile, un numéro qui ne devrait pas être utilisé, en interne ou en externe, du moins sur le papier. Prévu pour la fin 2011, avec plus de 90 000 points d’accès, My Beijing restera gratuit sur une durée de test de trois ans, couvrant 60% du territoire municipal….

  • AP300 : présentation

    Parblog

    L’AP300 est ce nouveau point d’accès destiné à être positionné sur un plafond ou un mur. Nous allons nous intéresser ici à son interface de gestion : configuré en 192.168.0.254, l’AP 300 affiche dès sa connexion une aide à la configuration : Difficile de faire plus agréable, on entre directement dans le vif du sujet et en quelques clics votre module se retrouve configuré, prêt à accepter les connexions. Dans la section WiFi, nous allons retrouver les réglages habituels :…

  • F1ZAV : un pont 5.7 GHz avec du matériel Ubiquiti

    Parblog

    Un relai radioamateur UHF, un pont réseau WiFi, mais quel est le rapport ? Simplement la maintenance à distance, sans avoir à se déplacer sur site à chaque fois pour la moindre modification logicielle ! Utilisant un pont réseau 5.7 GHz sur une distance de 18 km, F1UPL, l’exploitant du site peut ainsi mettre à jour les fichiers de configuration du serveur, les protocoles, ainsi que les paramètres du relais UHF et du software SIMPLEX. Certains de nos clients profitent également…

  • Frinetz, le WiFi gratuit à Fribourg

    Parblog

    D’un pays à l’autre, l’action politique semble visiblement rester toujours la même : se faire bien voir à l’approche des élections, ici les élections communales, cantonales, et fédérales, rien que ça ! C’est le mouvement des Jeunes démocrates-chrétiens fribourgeois qui a permis de recueillir  6280 signatures pour la mise en place du réseau « Frinetz », une réseau WiFi qui devrait couvrir gratuitement les espaces publics très fréquentés, comme cela existe déjà en Suisse dans les villes de Genève, Lausanne, Vevey ou Montreux. Sources :…

  • |

    Projet WiTo – « webcam » Wi-Fi haute qualité – 11/La vidéo

    Parric

    WiTo évolue encore puisqu’il est désormais capable de générer des vidéos à partir des différents clichés obtenus au cours d’une journée. Cela donne une animation plutôt sympathique : Admirez par exemple le passage de la Lune en début de vidéo et d’une étoile à la fin. Vous pourrez également admirer l’appareil photo dans le reflet de la vitre, soleil oblige 🙂 Prochainement, WiTo devrait être capable d’injecter lui même la vidéo obtenue sur YouTube, Anthony y travaille déjà… A suivre…