Bonjour,
 
 
je cherche actuellement une solution qui permettrait de stocker/sauvegarder les logs de connexion internet de plusieurs hôtels sur un serveur hébergé dans mon entreprise.
 
Si vous avez des solutions je suis preneur
 
merci

Logs de connexion du réseau hôtel ou d'un réseau à part (type Wifi client) ? Déclaration CNIL ?
 
Sinon, dans les deux cas, il te faudra une passerelle qui enregistre des logs, type Squid sur Linux, logs qui doivent être renvoyés au serveur

salut, et merci de ta réponse.
 
c'est pour les logs wifi client en fait au lieu d'avoir un serveur par hôtels je veux un serveur centralisé ...

Serveur Linux Syslog ça doit le faire non ?

Pour moi il te faudra quand même une passerelle sur place, qui intercepte les événements.
Parmis les solutions propriétaires tu le trouvera implémenté directement sur un contrôleur de domaine je pense, sinon en libre, Squid.

N'étant pas spécialiste de ceci (je lurke plus que je ne poste, n'ayant pas encore été assez formé...), je ne puis que donner des pistes.

en fait il me faudrait dans les hotels une solution qui permette de récupérer les logs et de les envoyer en ftp (sftp?) via un serveur que j'ai en interne.
 
j'aimerais que cette solution (dans les hotels) soit la moins couteuse possible

C'est pour ça que je parlais de logiciels libres: Squid s'installe sur Debian et peut intercepter chaque tentative de connexion (en plus d'être un proxy). Ces logs sont enregistrés dans un .txt (dans /var/log de mémoire) que tu peux rapatrier sur tes serveurs
Tu peux même, si tu vois à long terme, utiliser MySar, qui injecte les logs dans une BDD SQL.

et Squid par exemple ca suffit pour etre en règle ?
 
concrètement ca peut s'installer sur quelle type de machine ? (le minimum du minimum)

Un PIII.
Un Atom.
Un ARM.
 
Pour ce qui est "d'être en règle", je ne peut pas trop te renseigner. Pour moi, une adresse MAC est assez, à partir de celle-ci il est possible de remonter à une machine avec une injonction judiciaire (ça indique le constructeur et le vendeur), mais la tendance est à la rapidité des procédures: identification nominale de la personne.
Il y a des pros qui offrent ce genre de solution: génération d'un ID/password pour chaque client, portail captif (ex: Alcasar, CoovaChilli), authentification (Freeradius), logs (Squid). Mais c'est beaucoup de boulot et de connaissances en Linux.

oui en fait la solution qui va etre proposée est un wifi open ...
 
bon je vais tchecker squid

Même "open" tu dois pouvoir fournir des logs et une identification de l'utilisateur

Une MAC pour identifier un utilisateur, c'est bidon.
Au mieux tu obtiens peut-être la fabricant de l'interface réseau, et t'en fais quoi ?
Au pire, tu obtiens une MAC spoofé (falsifiée) et c'est encore plus inutile.
 
Le mieux c'est de délivrer à chaque client un accès identifié et dont tu établis la corrélation avec sa fiche client.
Il existe des matériels qui permettent cela (Zyxel G4100 par exemple).
Après ces mêmes matériels te permettent d'envoyer les logs vers des serveurs (zyxel ou pas). Ou alors ton serveur va récupérer les logs sur chaque matériel. Enfin, tu fais dans le sens que tu veux.
 
Mais bon, ne t'inquiètes pas outre mesure de l'aspect légal, c'est d'un flou grotesque.
 
A l'heure des VPN super cryptés, penser qu'un criminel va se servir d'un accès identifié pour commettre ses méfaits, c'est délirant. Il sera mieux au macdo, même pas besoin de fournir un faux passeport comme à l'hôtel du coin ...

en fait nous ne voulons justement pas d'identification (trop complexe a gérer) mais vraiment un accès open ???

et brider juste la connec de l'hôtel? genre n'autoriser qu'un protocole et un seul port (du QoS de "base" que le Firmware de ton AP te permettrait...) en plus du Log-qui-sert-à-rien-mais-qu'on-a-quand-même-pour-se-protéger ....
 
non?

N'hésite pas à causer en français.
Ça permettra de mieux définir ce mystérieux "open".

Tu ne veux pas d'identification mais tu veux bien une clé WPA au moins ?
Tu veux logguer les accès WEB ? Interdire l'accès à certains sites ou flux (utile pour la BP aussi) ?
Faire de la QOS par utilisateur ?
Récupérer aussi les logs du firewall ?

Définis tes besoins STP et réfléchis y bien. Mets toi dans la peau du client qui veut pourrir la connexion. Tu mets quoi en oeuvre contre lui ?

c'est simple la connexion sera un hotspot sans clef wep/wpa et totalement ouvert ... (je ne suis pas pour mais c'est la volonté de la direction donc bon...)

Tous ce qui est QoS etc... je gères.

La question est de savoir quoi mettre en oeuvre pour récupérer a mon bureau les logs de connexions a internet (4 hôtels répartis dans toutes la France)

Tu leurs a dit que voisin ou le quidam dans la rue allait pouvoir se servir de leur connexion et de leur BP ?
Surtout pour télécharger ?
T'as causé Hadopi ?

shongail c'est pour ca que je veux une sauvegarde des logs... et il n'y a pas de voisin

Ouais enfin les logs, ils ne vont te servir à rien.
Sauf dans le cas où tu filtres pour checker ce qui est bloqué et pourquoi.

N'hésite pas à te faire signer une décharge aussi

Le fait d'avoir un réseau complètement ouvert est envisageable dans la mesure où l'ensemble des questions suivantes à une réponse via le stockage des logs : qui fait quoi et quand ?
 
Cependant il vaudrait mieux instaurer un login/mdp étant le numéro de chambre et le login du client, il existe des logiciels hôtelier permettant de piloter directement un contrôleur type Ucopia.
 
Pour des raisons de service client il faut par contre mettre des règles de filtrage pour éviter peer to peer, download sauvage, streaming vidéo ...

selon la cnil il suffit simplement d'avoir une sauvegarde des logs... j'ai bien conseillé de fermer le réseaux et d'avoir un accès par code mais ca a l'air trop complexe donc ils veulent tout ouvrir ...

si tu me relis c est ce que je te dis, qui fait quoi et quand = les logs (il faut qu'ils soient suffisement précis quand même, adresse mac, date et heure, logs de l'activité)
 
ne pas oublier non plus que la CNIL est une chose, la justice en est une autre.
à défaut de pouvoir donner les éléments c est le propriétaire de l'accès internet qui est pénalement responsable
 
pour rappel la CNIL sanctionne le fait que les dispositions ne sont pas prises pour les logs
 
la justice sanctionne un acte pénalement répréhensible tel que le surf sur un site pédophile, le téléchargement illégal etc etc ...
si l'acte est constaté et qu'un OPJ fait une enquête il doit pouvoir répondre au qui l'a fait et le propriétaire de l'accès doit lui en donner les moyens via les logs, à défaut de log c est le titulaire de l'accès qui sera sanctionné

alors que faire pour faire un hotspot wifi sécuriser avec sauvegarde des logs sans que le client est forcement besoins d'un code ou autre qu'on doit lui donner ...

on peut jouer sur le fait que la notion d'identité n'est pas très bien explicitée ni par la justice ni par la CNIL.
alors qu'il a clairement été établi qu'une adresse ip ne pouvait pas constituer une preuve tangible d'identité, pour le moment l'adresse MAC semble suffire
 
donc pas forcément besoin d'authentification avec code mais il faut être sur que les logs contiennent :
date/heure, adresse MAC, adresse web consultée (éventuellement port et type de flux)
 
dans les faits et on le voit bien dans les hôtels, généralement il y a une authentification soit avec des codes liés à la réservation de la chambre soit carrément avec du hotspot payant type orange soit avec un portail captif type ucopia

oui donc dans ce que veut le client c'est un serveur qui sauvegarde les logs avec le plus d'infos possible et laisser le hotspot totalement ouvert

tout à fait c est envisageable et légal

oki donc je revient au sujet quel serveur de logs pas cher et qui permet de récupérer les logs de 4 endroits différents pour les stocker a un cinquieme endroit ?
 
Squid ok mais je ne suis pas sure d'etre assez calé sous linux ...

je dirais qu'un syslog quelconque doit savoir faire ça

oui je penses aussi le tout est de trouver

syslog-ng par exemple.

oui j'ai vu syslog-ng mais linux et moi ca fait 2 (enfin quand meme pas mais pas loin)
 
Je vais quand meme essayer...

Si tu ne penses pas pouvoir le faire toi même, fait le faire par une SSII  
Ou alors prépares-toi à raquer si tu veux le même genre de produit pour Windows. Là où je bosse il y a une partie hôtellerie pour accueillir des "élèves", le mess a voulu passer par une société privée pour gérer le tout (principalement car on n'avait ni le temps d'installer, ni le temps de s'en occuper ), l'heure de connexion est à 5€ (rétribué 4.50€ à la société) alors qu'on pouvait en théorie leur fournir pour 1€ avec le matos rentabilisé au bout de 36 à 48 mois.
 
Après si on suit strictement ta demande :
Situation de départ : tu as plusieurs sites qui sont connectés avec du WiFi.  
1- Quel matos ? Disposes-tu déjà d'un proxy filtrant/qui enregistre ?
 o si oui, lequel, après passer en 2.
 o si non, il faudra le prévoir, et squid est le mieux/moins cher. Une fois installé et configuré, aller en 2.
 
2- tu as déjà un proxy, comment sont stockés tes logs ? Un fichier texte disponible ?
 o si oui, peux-tu te connecter à distance dessus ? (ssh/ftp)
           # si oui, il te faut juste un script tout con qui sera chargé de récupérer et sauvegarder (sur bande/DVD/disque dur externe) en plusieurs exemplaires, GOTO FIN
           # si non, retour en 1, changer de proxy.
 o si non, il faut voir comment exporter tes logs (donc se rapprocher du vendeur/constructeur), puis retour en 2.
 
:FIN
 

bon alors pour l'instant il n'y a rien dans les hotels on va mettre un modem (classic) et des répéteur wifi...
 
finalement pas besoins de centralisé les logs si on peut les consulter a distance sur chacun des hotels ca suffit...

oui sauf qu'il va te falloir quelquechose pour récupérer les logs et vu l'installation de bornes et juste un modem ca tient plus du bricolage qu'autre chose ...
 
a ta place je partirais sur un truc comme ça : http://www.telmatweb.com/accessbox_fr.php
 
tu as combien de bornes par site ?

ca peut etre pas mal ca ... pour les bornes wifi ca varie entre 3 et 6 (voire 8)

concernant les prix pour accessbox ca donne quoi a peu près ?

edith : euh ca va pas du tout rentrer dans le budget ....

bon je penses que la solution la moins onéreuse soit de mettre en place une solution syslog-ng sur un ubuntu ou une debian... par contre le serveur proxy est-il obligatoire pour mettre en place syslog-ng ?

Sinon tu peux partir sur un pack de chez ZyXEL, à 1500€ par site.
 
syslog-ng n'est là que pour "t'afficher" et récupérer les logs, c'est le serveur proxy qui fait le boulot.
Et là tu n'as pas dû bien lire mon précédent post, car pas besoin de syslog-ng pour récupérer des logs et les stocker, une connexion ssh suffit.

bardiel je connais le pack de chez zyxel mais a 500 € le serveur de log c'est trop cher...
 
concernant la solution pour les logs peux-tu me l'expliquer en détaillant ? THX

Comparativement, cela te coûtera le même prix même si tu pars sur une machine Atom, avec une bonne garantie.

Pour les logs, sur squid par défaut c'est un fichier texte situé en /var/log/squid/access.log
En autre piste, tu as pfSense qui peut envoyer à un serveur syslog ses logs (ce que tu souhaites à la base).