PhenIXUS

[curck]

Bonjour,

Nouveau sur ce forum mais ancien utilisateur à titre privé de la distribution IpCop, je voudrais mettre en place pour le futur réseau de mes parents une passerelle WIFI pour leurs client.
Mon père vient de me prévenir qu'un décret du 24 mars 2006 oblige les entreprises mettant à disposition de leurs clients un accès à internet doivent conservé pendant 1 an des logs sur les connexion de ces derniers.

Pourriez-vous m'aider en m'indiquant à l'heure actuelle quelles solutions peuvent être mise en place à moindre coût pour mettre en place ces obligations légales ?
J'aimerais savoir quelle distribution est la plus à même de répondre à ces besoins, éventuellement avec des plug-in ou add-on !

Merci d'avance pour votre aide.

--
Curck

[ccnet]

Un portail captif et un proxy.

[curck]

Un portail captif et un proxy.

Merci pour cette réponse rapide !

D'après ce que j'ai pu voir, c'est possible avec IpCop (que je connais déjà). Mais est-ce nécessaire d'avoir un serveur radius pour les authentifications sur une autre machine, ou peut-on le mettre sur la même machine qu'IpCop ?

[Cool34000]

Salut,

C'est une question que je m'étais posée il y a 1 an quand j'ai commencé à développé un portail captif pour chez moi (Debian 6 + Coova Chilli + FreeRADIUS).
Les journaux du Proxy ne suffisent pas, vu qu'on ne garde une historique que du surf Internet...

J'ai donc appliqué quelques règles iptables pour garder une historique de tout ce qui sort et j'envoi le tout dans ULOG.
Un petit logrotate pour garder 365 jours de logs et je fais tourner le log tous les jours...

La règle iptables ressemble à ceci (eth0 est la carte reliée au réseau local qui donne accès à Internet et eth1 est la carte reliée au clients WiFi) :

Code : Tout sélectionner

iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW -j ULOG --ulog-prefix "RULE FORWARD -- ACCEPT"

Comme j'ai installé un Proxy transparent, il y a aussi une règle pour journaliser ce qui passe au cas ou :

Code : Tout sélectionner

iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 80 -m state --state NEW -j ULOG --ulog-prefix "RULE PROXY -- ACCEPT"

J'affiche le tout dans une petite page web en php nommée firewallEyes... Vraiment top !

Je ne sais pas ce qu'en pense les grands gourous de PhenIxus, je serai curieux d'avoir leur avis

[Franck78]

VI. - Les données conservées et traitées dans les conditions définies aux III, IV et V portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux.

Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications.

C'était assez clair et applicable pour le téléphone.

Appliqué à internet,
si par malheur tu conserves une url, comme une question à google, une lien dont le libéllé même dévoile quoique ce soit,
tu deviens autant hors la loi que si tu n'avais rien conservé (imho).

Moralité : il vaut mieux ne pas soutenir ce genre d'espionnage étatique !

[Cool34000]

Salut,

C'est vrai qu'un log de Proxy n'est pas réputé pour sa confidentialité... Et avec un bon disclaimer informant qu'un dispositif de tracage est en place ? (déclaré à la CNIL du coup ?)

Voici à quoi ressemble chez moi un log quand mon iPhone fait une recherche Google :

Code : Tout sélectionner

Jan 31 23:07:24 hotspot RULE FORWARD -- ACCEPT IN=eth1 OUT=eth0 MAC=XXXXXXXXXXXX  SRC=172.17.1.46 DST=74.125.230.216 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=63350 CE DF PROTO=TCP SPT=49170 DPT=80 SEQ=2508759649 ACK=0 WINDOW=65535 SYN URGP=0

Jan 31 23:07:26 hotspot RULE FORWARD -- ACCEPT IN=eth1 OUT=eth0 MAC=XXXXXXXXXXXX  SRC=172.17.1.46 DST=208.67.222.222 LEN=64 TOS=00 PREC=0x00 TTL=254 ID=61867 CE PROTO=UDP SPT=49938 DPT=53 LEN=44

Jan 31 23:07:26 hotspot RULE FORWARD -- ACCEPT IN=eth1 OUT=eth0 MAC=XXXXXXXXXXXX  SRC=172.17.1.46 DST=74.125.230.216 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=54400 CE DF PROTO=TCP SPT=49171 DPT=80 SEQ=2766703523 ACK=0 WINDOW=65535 SYN URGP=0

Jan 31 23:07:27 hotspot RULE FORWARD -- ACCEPT IN=eth1 OUT=eth0 MAC=XXXXXXXXXXXX SRC=172.17.1.46 DST=74.125.230.223 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=28607 DF PROTO=TCP SPT=49172 DPT=80 SEQ=2601408944 ACK=0 WINDOW=65535 SYN URGP=0

Jan 31 23:07:28 hotspot RULE FORWARD -- ACCEPT IN=eth1 OUT=eth0 MAC=XXXXXXXXXXXX  SRC=172.17.1.46 DST=74.125.230.211 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=44452 CE DF PROTO=TCP SPT=49173 DPT=80 SEQ=4288253822 ACK=0 WINDOW=65535 SYN URGP=0

J'ai remplacé la MAC de mon iPhone par XXXXXXXXXXXX pour plus de confidentialité, mais dur de retrouver ce que j'ai cherché sur Google avec ça

[jdh]

Un firewall autorise ou non un flux.
Les logs du firewall peuvent alors tracer les "sessions" réalisées par une adresse ip. (cf l'exemple de log donné par Cool34000)
Mais cela n'est pas très lisible tant par l'adresse ip que par un n° de port qui n'explique pas grand chose.

Par contre un firewall "applicatif" est capable de travailler à l'intérieur de la session (tcp).
Dans la pratique un proxy (http) va permettre de tracer les url accédés toujours par une ip.
Mais il faudrait regarder d'autres proxy : proxy smtp, pop, imap, ftp, ssh ?
On va vite, comme les url, arriver dans la vie privée !

Par ailleurs, il est notable qu'effectuer un log de trafic sans en informer l'utilisateur n'est pas légal.
(En entreprise, il faut considérer même la signature d'une charte.)
Je me demande qu'est ce que je pourrais penser si, louant pour 2 ou 3 journées un gite, on m'informerait "attention votre accès à Internet est enregistré" ...

Cela dit, je ne suis pas certain que ledit décret couvre cette utilisation ...
Sinon, mon FAI doit faire de même pour tous ses clients ADSL ...

[Franck78]

J'ai remplacé la MAC de mon iPhone par XXXXXXXXXXXX pour plus de confidentialité, mais dur de retrouver ce que j'ai cherché sur Google avec ça

Je dirais que cela respecte la loi à moitié puisque tu n'as pas la durée de chaque session (SYN, et FIN / RST alors ), que si le gugusse c'est bricolé son procotole (sur icmp?) tu n'as aucune trace...

Donc tu vois, tu es loin du compte !

Au moins, on a du mal à savoir ce que tu faisais avec une IP destination. C'est rassurant et ça démontre l'inutilité de générer cette masse de données pour chaque accès internet !

[jibe]

Salut,

Attention : terrain extrêmement glissant !

Quelques soient nos opinions personnelles nous devons - dixit la Charte - éviter tout comportement illégal et encore moins inciter à enfreindre les lois.

Il est très probable, comme le souligne Franck78, que quelqu'un de bien défendu puisse démontrer certaines incohérences et avoir gain de cause. On peut aussi débattre longuement de la confidentialité ou de l'utilité des logs. Toutefois, la loi te considère dans ce cas comme un FAI, et soumis aux obligations des FAI. Je pense donc :

1. Que tu es inattaquable dans tous les cas de figure si tu conserves des informations confidentielles mais exigées par la loi,
2. Qu'au contraire si tu ne conserves pas les informations demandées c'est toi qui porteras l'entière responsabilité des comportements illégaux constatés sur ta connexion Internet,
3. Que tu ne dois dans aucun cas occulter ce second point mais au contraire en informer les intéressés qui doivent connaître les risques qu'ils encourent,
4. Qu'on ne peut rien dire d'autre ici, phénIXUS devant éviter d'aborder toute discussion politique.
5. Que rien dans la charte n'interdit à un admin, modo ou membre de phénIXUS de soutenir la quadrature du Net ou tout autre organisme, à la seule condition de ne pas aborder ici les sujets dont il est question là-bas.

Concernant le fait d'informer les usagers, cela parait logique et la moindre des corrections, et rien n'empêche de préciser que c'est exigé par la loi et mis en pratique par tous les FAI. Informer n'a rien de répréhensible, et peut contribuer à faire évoluer certaines pratiques.

[Cool34000]

Salut,

Débat intéressant !

Voici ce que je suis en mesure de dire à un gendarme qui viendrait me demander "qui a accédé à telle IP tel jour à telle heure" :
- la MAC du poste incriminé (l'état NEW suffit)
- l'utilisateur (Login) qui y correspond (grace au journal RADIUS)
Avec ça en poche, je ne suis pas sur qu'un gendarme soit en mesure d'arrêter le cyber délinquant :
- les portails captifs sont vulnérables au MAC spoofing
- un Login ne correspond pas forcément à une personne physique pour plusieurs raisons

Ce que j'en comprend, c'est que ça ne sert pas à grand chose à part prouver que je ne suis pas le fautif.