Hotspot Wifi sécurisé avec contrôle d’accès ALCASAR

Dans cet article je vais vous présenter mon installation de fourniture d’accès Wifi sécurisé basé sur Alcasar qui est maintenant en service depuis Octobre 2011.

Le cahier des charges de cette installation est le suivant :

  • Simplicité d’utilisation (tant du point de vue administration que pour l’utilisateur).
  • Conformité en matière d’obligations légales (Obligations identiques à un fournisseur d’accès internet).
  • Sécurisation des communications (garantie d’un accès privé à Internet).
  • Protection du système vis à vis de l’extérieur mais aussi de l’intérieur.
  • Endurance du système et maîtrise des coûts.

Les solutions techniques : 

Solution  1 (le home made)

Dans un premier temps (courant 2007), j’ai conçu un système répondant à l’architecture suivante :

Solution technique d’origine

 - Forces :
  • Serveur centralisé, ce qui permet de multiplier les sites distants, simplifier la maintenance.
  • Peu de matériel sur le site de production, baisse du coût de fourniture électrique
- Faiblesses:
  • Le routeur n’est pas très puissant (200Mhz ,16Mo RAM, 4Mo de flash) ce qui rend l’ajout d’applicatifs et la tenue en charge problématique.
  • Le développement de A à Z d’une telle architecture est très chrono phage dans le cadre fixé par le cahier des charges.

Solution  2 (le clé en main : ALCASAR)

 Après de longues heures de développement et d’intégration, mais aussi de déboires (c’est comme ça que l’on progresse), j’ai décidé de ne plus réinventer la roue (cela prend trop de temps) et de me pencher vers une solution un peu plus clé en main, mais avec quelques modifications.
 - Forces :
  • Un gain de temps énorme (seul on avance moins vite que toute une équipe, vive le partage !).
  • Technique éprouvée (utilisation de composants logiciels fiables et relativement à jour).
  • Les parties font-end et back-end sont bien construites et relativement faciles à s’approprier.
  • La partie serveur repose sur l’utilisation d’un PC (puissance à adapter selon la charge à absorber) ce qui permet une grande liberté quant à l’intégration de logiciels tiers apportant de nouvelles fonctionnalités.
  • Le système est en accord avec la loi qui impose à tous fournisseurs d’accès une rétention des données de navigation (authentification de l’utilisateur) d’une durée de 1 an (soit 365jours).
- Faiblesses:
  • Administration décentralisée, ce qui augmente la probabilité d’un déplacement en cas de panne.
  • Augmentation de la dépense d’énergie sur le site d’accueil.

 

 - Modifications apportées (logiciels installés en plus ou modifications du système):

  • Refonte graphique de la partie front-end afin d’adhérer à la charte graphique de l’établissement d’accueil.
  • Ré agencement de la partie back-end afin de rendre plus lisible la création de tickets d’accès et d’intégrer l’administration des logiciels tiers installés.
  • Restructuration des régles du pare-feu (iptable) afin de permettre la mise en œuvre des nouvelles fonctionnalités.
  • Ajout de “CACTI” afin de centraliser les informations relatives à la surveillance matérielle (graphiques, plugin nagios, syslog), mais aussi logiciel en récupérant les logs du service radius qui réalise l’authentification des utilisateurs (ce qui s’avère très utile en cas de problème de connexion par l’utilisateur).
  • Ajout de “Webmin” qui permet de réaliser une administration fine du serveur sans passer par de fastidieuses lignes de commande.
  • Paramétrage de “Postfix” afin de relayer les mails d’alertes de Cacti, mais aussi de Logwatch.

 Ressources : 

Laisser un commentaire