Bonjour à toutes et tous,  
 
Mon entreprise ne déroge pas à la règle... Ils veulent du wifi au boulot (pour tablettes, téléphones et ordinateurs portables), uniquement pour accéder à internet.
 
Toutefois, j'aimerai pouvoir enregistrer les logs de connexion (voir les logs de consultation) au cas ou Hadopi viendrait frapper à notre porte.  
 
En gros, si Hadopi vient me dire "votre IP xxx.xxx.xxx.xxx a piraté une oeuvre le 15 décembre à 15h48", je veux pouvoir savoir qui à fait ça   Afin de pouvoir en référer à ma hiérarchie.
 
Actuellement, j'ai mis en place une solution rapide, à savoir une connexion internet avec 2 ou 3 point d'accès wifi dans le batiment. Mais aucun log n'est fait (c'est une erreur je sais), et la couverture n'est pas totale dans le batiment. Pour bien faire, il me faudrait 6 points d'accès wifi dans le batiment. Je vous rassure, la connexion wifi est indépendante du réseau local   Il n'y a donc aucun accès aux données de l'entreprise.  
 
Autant le Wifi je connais pas trop mal, mais avec un système de log, je connais pas... Auriez-vous des sites, des revendeurs, ou même des solutions techniques à me conseiller/proposer pour mettre en place ce genre de solution ? (en région parisienne de préférence).
 
D'avance merci pour votre aide.

802.1x ?

Proxy ?
Ça te permettra de filtrer certains sites ( qui même sur tablette/mobile perso ) n'ont pas à être accédé au taf .. et les logs seront clairs et exploitables.

Si ils raccordent la tablette/smartphone à leur PC ou utilisent un portable avec WiFi ?  

dimz4 : Pour le wifi... du 802.1a/b/g/n... histoire d'être accessible à tous les appareils
 
boobaka : Proxy ? Euh j'en sais rien à dire vrai... Si c'est nécessaire oui, mais le but est bien d'enregistrer des logs pas de fliquer untel ou untel    
 
nebulios : C'est aussi pour empecher ce genre de chose que je veux un wifi :-) Pour leur éviter toutes conneries, car si le wifi est présent, ils n'auront aucun interet à aller connecter leur mobile/tablette a leur ordinateur.

Aucun intérêt, mais comment vas-tu les empêcher concrètement ? C4est un des gros problème du BYOD, pense à te blinder sur ce point-là.

En effet, je vais revoir ça.... Encore merci pour ton aide

Si vous avez un AD dans la boîte, vous pouvez utiliser un portail captif et Freeradius pour authentifier vos utilisateurs via l'AD

Sur le réseau Wifi, il n'y actuellement rien de tout ça...  
 
Mais si il le faut, je peux parfaitement recycler un serveur (en 2003 serveur), pour créer un AD
 
Schéma de principe
 
Connexion internet <---> Serveur 2003
                                        |
                                     Switch
                                        |
                                        |---> Point d'accès wifi 1 )))          ((( Ordi
                                        |---> Point d'accès wifi 2 )))          ((( Tablette
                                        |---> Point d'accès wifi 3 )))          ((( Téléphone
 
Ce schéma vous semble-t-il correcte ?

Pas besoin d'un AD sur la partie réseau wifi "libre": une machine faisant office de portail captif avec deux pattes réseau en a une sur ton LAN d'entreprise qui sera son côté WAN et donnera la possibilité d'accéder à ton AD existante, l'autre sera le LAN du réseau wifi, tout en séparant les deux
En utilisant Freeradius, CoovaChilli, Squid tu peux faire quelque chose dans ce genre
Si vraiment tu ne veux pas que Freeradius récupère sa base d'utilisateurs sur ton AD, tu peux opérer soit avec des fichiers textes (le fonctionnement de base de Freeradius), soit en tapant dans une BDD.

Salut,
 
Si tu as besoin de logger les connexions pour motif légal, tu as donc besoin d'authentifier individuellement les utilisateurs.
 
Soit tu as un dispositif qui le fait de manière transparente pour les utilisateurs déjà identifiés à un AD et auquel cas ça pourrait etre tansparent pour eux, soit un portail captif comme à l'hotel.
Note que tu peux avoir un mix des deux : authentification automatique pour les dispositifs déjà loggés sur l'AD, et portail captif pour les autres.
 
A mon avis tu n'as pas besoin de logger les sites web visités. Seul un log comportant : date/heure connexion, username devrait suffire (éventuellement ip client).
 
   
 

Bonjour et merci pour toutes vos réponses... Les choses commencent à se préciser.  
 
Donc, il me faut effectivement des logs (pour des questions légales), avec les points suivants :  
- Date
- Heure
- Adresse IP du client wifi
- Adresse MAC du client wifi
- Nom d'utilisateur
 
Maintenant, en cas de plainte Hadopi (en autre), comment je fais pour retrouver le responsable du "piratage" avec uniquement ces informations ? Je pense que la seule façon est encore d'enregistrer le lien des sites visités (ou des ports).
 
Précision importante :
La direction impose que le réseau wifi soit différent du réseau local.  
 
Power Nabot : Merci pour toutes ces infos, je vais tâcher de regarder tout ça dans les plus brefs délais. Question subsidiaire, tous les produits que tu proposes ne sont dispo que sous Linux ? Rien sous environnement Microsoft ?

Ucopia/olfeo pour le portail captif et les logs (y compris les url visitées)
Ruckus/Cisco/Aruba ou autre pour le wifi avec un contrôleur pour le roaming (les gens qui se déplacent)

=> simple à mettre en place, et facile à mettre en place sur un réseau séparé physiquement de ton réseau entreprise.

Le coup du serveur radius + AD, ça marche pas sur un réseau séparé, ou alors faut monter un AD spécialement pour ça (CAL Users etc...)

Après, tu peux aussi monter une solution complète à base de Pfsense (par exemple) et Squid + un radius.. mais c'est plus long

Merci, je vais voir tout ça... La première solution me semble mieux... enfin au premier coup d'oeil