Un réseau "Hadopi-proof"

Un réseau "Hadopi-proof" - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 28-06-2013 à 15:32:54    

Bonjour,
 
L'établissement privé duquel je fais partie à reçu sa deuxième lettre d'avertissement de la part d'Hadopi ("défaut de sécurisation, blablabla... 1500€, coupure internet, blablabla..." ) Je suis entrain de réfléchir à des solutions pour éviter que cela se reproduise, solutions idéalement les moins contraignantes pour les utilisateurs.
 
Parmi les idées pour l'instant :
 
- Blocage des protocoles utilisés par les logiciels pair à pair. Quels sont ces protocoles? Il y a t'il des moyens de contournement (qui sont quand même susceptibles de se faire "flasher" par Hadopi), et si oui, quelles compétences techniques demandent t'ils? Quels vont être les dommages collatéraux pour les utilisateurs?
 
- Utilisation d'un VPN situé dans un pays plus respectueux des droits de l'homme. Quel pays, quel tarif, quelles limitations?
 
Avez-vous d'autres idées?
 
Merci d'avance pour votre réponse.

Reply

Marsh Posté le 28-06-2013 à 15:32:54   

Reply

Marsh Posté le 28-06-2013 à 15:45:45    

Pour commencer, tu mets un proxy et un firewall.
 
Sur tes postes tu configures le proxy pour l'accès à internet, et sur ton firewall, tu n'autorises que le proxy pour les ports 80 et 443.
 
Ensuite, sur les deux équipements, tu actives les logs, car tu as des obligations d'identification et d'archivage vis à vis de la loi. Ces logs te permettrons également de trouver le "coupable".  
 

Message cité 1 fois
Message édité par still_at_work le 28-06-2013 à 15:48:00

---------------
In my bed, but still_at_work.
Reply

Marsh Posté le 28-06-2013 à 17:25:15    

1.) Il ne s'agit pas de fliquer les usagers sur leur utilisation du réseau. Quelle est cette loi qui oblige à faire cela? De toute façon, trouver le "coupable" risque d'être difficile car, à partir du moment où ils disposent de la clef Wifi, les usagers peuvent se connecter librement au réseau avec leur ordinateur portable ou téléphone portable.
 
2.) Ce genre de filtrage semble être très lourd : la plupart des utilisations non-Web tels le SMTP, la VOD, les jeux vidéos, le FTP, et que sais-je encore... ne vont-ils pas se retrouver bloqués?
 
3.) Qu'est ce qui empêche les logiciels de pair à pair de passer par les ports TCP (et UDP?) 80 et 443?

Reply

Marsh Posté le 28-06-2013 à 18:18:15    

C'est quoi cet établissement ?
Quel type de public accueille t'il ?
 
Et puis outre le respect des droits d'auteurs, ça ne vous pose pas problème au niveau débit ?

Reply

Marsh Posté le 28-06-2013 à 18:50:50    

Ça ne posait pas de problème jusqu'ici, les usagers arrivaient plutôt bien à s'entendre sur le partage de la bande passante (au vu de la construction du bâtiment, le wifi est en pratique limité à une seule salle).
 
Et ça posera encore moins problème en cas du choix du blocage des flux des logiciels pair à pair. Sur ce point d'ailleurs, Hadopi surveille-t-elle seulement les flux montants ou aussi descendants? Quoique pour éviter les risques en cas d'évolution des systèmes de la Hadopi, il séra probablement préférable de bloquer les deux sens...

Reply

Marsh Posté le 28-06-2013 à 19:22:37    

Hadopi ca va disparaître. Faut suivre l'actualité ;)
Mais tu n'indiques pas dans quel cadre tout cela s'inscrit.
 
C'est une société ? Un établissement d'enseignement ? Une association ?
Quel est le but premier de l'accès à Internet ?

Reply

Marsh Posté le 03-07-2013 à 14:41:00    

Disparaitre? C'est vous qui devriez suivre mieux l'actualité :
http://www.numerama.com/magazine/2 [...] u-csa.html :

Citation :

la riposte graduée ne sera pas supprimée, mais simplement réaffectée au CSA, dans une version qui promet d'être pire encore.
 
 La sanction jamais appliquée de la suspension de l'accès à internet devrait en effet être remplacée par un système d'amendes automatisées, dont le JDD ne dit rien du montant. Selon les souhaits régulièrement émis par les ayants droit, il pourrait être de 140 euros par infraction constatée.


 
Le but premier de l'accès à Internet est... l'accès à Internet. Après il est vrai que un accès dans un but "administratif" du genre accès au site de la CAF, consulter ses e-mails, ou alors par exemple pour voir les horaires des trains reste plus important que un simple accès "loisir", mais idéalement un accès "loisir" resterait toujours possible.

Reply

Marsh Posté le 03-07-2013 à 17:50:08    

l'acces loisir à l'air d'inclure du download de contenu soumis aux droits d'auteur.
 
perso je commencerais par enlever les droits d'admin aux utilisateurs et à contrôler les logiciels installés sur les PC de mon parc, et je me renseignerai sur la configuration d'un proxy et d'un pare-feu.
 
quoi qu'il arrive le combo proxy/pare-feu est indispensable, et si tu trouve ca trop contraignant c'est que tu ne sais pas ce que tu encours en tant que fournisseur d'accès internet si jamais des utilisateurs font des choses illégales grace à l'accès que tu leur propose.

Reply

Marsh Posté le 03-07-2013 à 18:02:08    

C'est encore obscure le type de structure dans laquelle il bosse.  
Donc c'est compliqué de se dire ce qu'il pourrait mettre en place ou pas.

Reply

Marsh Posté le 03-07-2013 à 18:36:19    

BlueTemplar85 a écrit :

Disparaitre? C'est vous qui devriez suivre mieux l'actualité :
http://www.numerama.com/magazine/2 [...] u-csa.html :

Citation :

la riposte graduée ne sera pas supprimée, mais simplement réaffectée au CSA, dans une version qui promet d'être pire encore.
 
 La sanction jamais appliquée de la suspension de l'accès à internet devrait en effet être remplacée par un système d'amendes automatisées, dont le JDD ne dit rien du montant. Selon les souhaits régulièrement émis par les ayants droit, il pourrait être de 140 euros par infraction constatée.


 
Le but premier de l'accès à Internet est... l'accès à Internet. Après il est vrai que un accès dans un but "administratif" du genre accès au site de la CAF, consulter ses e-mails, ou alors par exemple pour voir les horaires des trains reste plus important que un simple accès "loisir", mais idéalement un accès "loisir" resterait toujours possible.


 
Ben oui Hadopi est appelé à disparaître. Ton article le mentionne [:atari]
Après, ce que ça va devenir, ce ne sont pour l'instant que des conjectures.
 
Pour en revenir au sujet du topic, tu sembles penser que l'accès à Internet est un droit qui ne souffre aucune contradiction.
Si tu n'as pas de respect pour les droits d'auteurs, tu feras moins le malin si l'accès à Internet que tu veux sans aucune interdiction sert à d'autres délits (terrorisme, pédophilie, contenus violents). Je ne sais toujours pas si tu n'accueilles pas même des mineurs.
Il te faudrait prendre cela plus au sérieux et respecter la législation.
Chacun a Internet chez soi désormais. Tes utilisateurs n'ont pas besoin de la connexion Internet dont tu t'occupes pour aller voir youtube ou télécharger des fakes sur du P2P. Ne te préoccupes pas de cela. Vois l'intérêt de ta structure et son objet.

Reply

Marsh Posté le 03-07-2013 à 18:36:19   

Reply

Marsh Posté le 04-07-2013 à 14:47:38    

En tant que prestataire j'ai eu le même pb avec le poste d'un client
Dans mon routeur cisco UC540 y a une option avec le parfeu, à voir

Reply

Marsh Posté le 04-07-2013 à 16:13:41    

Omar Cheifrai a écrit :

C'est encore obscure le type de structure dans laquelle il bosse.  
Donc c'est compliqué de se dire ce qu'il pourrait mettre en place ou pas.


Voilà, pourquoi en discuter si on ne sait pas dans quelle structure "on" est [:spamatounet]  
Il manque aussi à savoir s'il existe déjà une charte informatique avec le cadre d'utilisation de l'accès à internet, des "heures libres" (le midi par exemple), la configuration des postes (centralisé ? utilisateurs administrateur de leur machine ?)
 
Car déjà répondre :

still_at_work a écrit :

Pour commencer, tu mets un proxy et un firewall.


Si les utilisateurs sont administrateurs, ça ne sert pas à grand chose. Un VPN, un changement de configuration, et hop on passe à travers.
 
Même par rapport à Hadopi, limite ça on s'en fout :

BlueTemplar85 a écrit :

1.) Il ne s'agit pas de fliquer les usagers sur leur utilisation du réseau. Quelle est cette loi qui oblige à faire cela? De toute façon, trouver le "coupable" risque d'être difficile car, à partir du moment où ils disposent de la clef Wifi, les usagers peuvent se connecter librement au réseau avec leur ordinateur portable ou téléphone portable.


En tant que fournisseur d'accès à internet, tu es soumis à la loi informatique et liberté, qui régit notamment une obligation de logs d'accès. Tu peux commencer par une simple lecture de ce qui est indiqué sur Wikipedia sur le droit de l'informatique en France (à adapter donc en fonction de la législation locale)
Donc plus qu'un réseau "Hadopi-proof", c'est surtout un réseau dans le cadre légal qui doit être mis en place. Si l'un de tes utilisateurs télécharge de quoi faire une bombe et s'en sert, l'entreprise sera responsable, et en tant que responsable informatique (ou assimilé) tu prendras plein pot dans la face :o
Je donne volontairement un extrême, mais tout reste possible.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 04-07-2013 à 16:36:54    


 

bardiel a écrit :


Si les utilisateurs sont administrateurs, ça ne sert pas à grand chose. Un VPN, un changement de configuration, et hop on passe à travers.


 
Le firewall bien configuré bloquera le VPN !  :D


---------------
In my bed, but still_at_work.
Reply

Marsh Posté le 04-07-2013 à 16:58:12    

Tunnel HTTP avec relais, carte réseau virtuelle etc... démonstration vu au sein d'un réseau de l'armée, avec du matos lourd faite pour (analyse de trame, blocage des ports) ça passait comme dans du beurre. Bon le gars qui avait fait la démonstration connaissait le réseau mais avait fait la présentation en ne se servant pas de ses accès privilégiés. Et là ça se casse les dents dessus un peu partout (cf le CERTA) car en partant d'une solution simple ça peut trop facilement se détourner :o
 
(edit : et pour la modération, même au sein de l'observatoire de Paris il est donné le "moyen" de passer à travers un pare-feu [:the geddons] )

Message cité 1 fois
Message édité par bardiel le 04-07-2013 à 17:04:31

---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 04-07-2013 à 17:08:01    

quand ça vient de l'intérieur on peut pas faire grand choses! mais la ça devient contre les cgus et un pe plus technique donc qqpart le parfeu reste une bonne solution

Reply

Marsh Posté le 04-07-2013 à 17:19:40    

ben du point de vue hadopi, si le mec passe par un VPN pour télécharger, tant mieux, c'est l'IP du VPN qui est flashé pi voilà.
 
après bien sûr ça te pompe de la BP, et niveau sécu etc.. m'enfin c'est pas ce qui est demandé ici apparement.

Reply

Marsh Posté le 06-07-2013 à 18:12:40    

Citation :

l'acces loisir à l'air d'inclure du download de contenu soumis aux droits d'auteur.


Et c'est là le problème : Hadopi n'apprecie pas trop ce genre de choses...
 

Citation :

perso je commencerais par enlever les droits d'admin aux utilisateurs


Les bornes en libre service, certes, mais je vois mal comment je peut leur enlever les droits d'admin sur leur propre matériel.  
 

Citation :

quoi qu'il arrive le combo proxy/pare-feu est indispensable, et si tu trouve ca trop contraignant c'est que tu ne sais pas ce que tu encours en tant que fournisseur d'accès internet si jamais des utilisateurs font des choses illégales grace à l'accès que tu leur propose.


Pourtant un FAI n'est pas responsable de ce qu'un particulier fait avec sa ligne, non? Alors pourquoi l'établissement sérait responsable de ce que les particuliers font avec cet accès?
 

Citation :

Si tu n'as pas de respect pour les droits d'auteurs, tu feras moins le malin si l'accès à Internet que tu veux sans aucune interdiction sert à d'autres délits (terrorisme, pédophilie, contenus violents). Je ne sais toujours pas si tu n'accueilles pas même des mineurs.


C'est quand même un peu tiré par les cheveux, non? Quelles sont les chances que ce genre de problème arrive?
Sinon pas de mineurs dans la structure.
 

Citation :

Chacun a Internet chez soi désormais. Tes utilisateurs n'ont pas besoin de la connexion Internet dont tu t'occupes pour aller voir youtube ou télécharger des fakes sur du P2P. Ne te préoccupes pas de cela. Vois l'intérêt de ta structure et son objet.


Justement, les utilisateurs de cette structure n'ont PAS Internet chez eux. D'où ma tentative de leur donner un accès le moins bridé possible... principe qui est malheureusement remis en cause car la structure ne peut pas se permettre de se prendre des amendes de la part d'Hadopi.
 

Citation :

Il manque aussi à savoir s'il existe déjà une charte informatique avec le cadre d'utilisation de l'accès à internet, des "heures libres" (le midi par exemple)


Une charte serait probablement une bonne idée. Pas de restrictions horaires en principe.
 

Citation :

En tant que fournisseur d'accès à internet, tu es soumis à la loi informatique et liberté, qui régit notamment une obligation de logs d'accès. Tu peux commencer par une simple lecture de ce qui est indiqué sur Wikipedia sur le droit de l'informatique en France (à adapter donc en fonction de la législation locale)


Merci, je vais me renseigner.
 

bardiel a écrit :

Tunnel HTTP avec relais, carte réseau virtuelle etc... démonstration vu au sein d'un réseau de l'armée, avec du matos lourd faite pour (analyse de trame, blocage des ports) ça passait comme dans du beurre.


Justement, je sais que en principe, toute sécurité est contournable, mais en pratique il est peu probable qu'un utilisateur lambda ait ce genre de connaissances.

Reply

Marsh Posté le 06-07-2013 à 18:49:55    

Un FAI logue tout ce qui se passe sur son réseau et est capable de donner ces infos à Hadopi. C'est ce qui lui permet de ne pas être inculpé à la place de l'utilisateur.
 
Donc à toi de voir si tu préfères brider ou mettre en place toute une infra d'analyse de traffic qui te sera surement plus couteux ...

Reply

Marsh Posté le 08-07-2013 à 10:05:24    

Autre solution mais je ne sais pas si ça existe : installer un firewall avec un fichier de config modifiable et un verrouillage par mot de passe anti désinstallation/modification.
 
Comme ça, tu établis une configuration de firewall logiciel paramétrable selon tes besoins, tu balances la config sur les postes et hop, tu limites les abus.
 
Dit comme ça, c'est bien mais je ne saurais pas vers quel produit te tourner;

Reply

Marsh Posté le 08-07-2013 à 18:24:45    

BlueTemplar85 a écrit :


Pourtant un FAI n'est pas responsable de ce qu'un particulier fait avec sa ligne, non? Alors pourquoi l'établissement sérait responsable de ce que les particuliers font avec cet accès?

Tu es le client final (c'est à toi qu'ils facturent l'abonnement) = tu es le responsable.
 
Quelques petites remarques en vrac:
- Si le logiciel de P2P utilisé a moins de dix ans, tu bloques tous les ports sauf le 80 et le 443, il mettra quelques secondes de plus à se connecter aux pairs, mais passera quand même par l'un de ces deux ports :D
- De ce que nous pouvons interpréter des directives/recommandations/demandes de la HADOPI, ce n'est pas une obligation de résultats mais de moyens qui est demandée: apportes la preuve que tu as acheté une solution type pare-feu et antivirus, ça pourrait te couvrir si ça va plus loin. Je dis bien pourrait, le nombre de personnes qui savent réellement ce qu'il en est doivent se compter sur les doigts d'une main et se gardent bien de divulguer ce genre d'infos.
Tu peux même aller jusqu'à ne pas configurer le FW et l'AV, ils sont suffisamment incompétents pour penser que leur simple présence suffit à effrayer les logiciels de P2P :whistle: (joke inside hein, si ça va jusqu'à la case justice, des personnes compétentes pourraient prendre le relais et tu retrouverais baisé...)
- Suite à l'installation d'un FW + Proxy, les logs qui en serons extrait permettent de savoir qui a téléchargé (du moins, quel poste, puis remonter à l'utilisateur indélicat par les logs de Windows genre installation d'un nouveau programme), et ainsi de transférer la responsabilité (du FAI à celui qui fourni le service wifi, et de ce dernier à l'utilisateur).
- Pour la connexion wifi de ceux qui apportent leur laptop/téléphone/tablette, un portail captif avec une acceptation des CGV pour prévenir l'utilisateur qu'il entre dans une "zone surveillée" serait un plus.
 


---------------
Encore une victoire de canard !
Reply

Marsh Posté le 09-07-2013 à 14:18:47    

J'ai la solution "idéale" pensée pour une utilisation d'un espace internet "libre", le seul soucis, c'est que la donner, revient a donner le moyen de contourner la loi, et c'est illégal de donner un moyen de contourner une loi.

Reply

Marsh Posté le 09-07-2013 à 16:12:13    

forcément on a envie de savoir ...

Reply

Marsh Posté le 09-07-2013 à 17:19:57    

MysterieuseX a écrit :

J'ai la solution "idéale" pensée pour une utilisation d'un espace internet "libre", le seul soucis, c'est que la donner, revient a donner le moyen de contourner la loi, et c'est illégal de donner un moyen de contourner une loi.


j'ai ri, merci.

Reply

Marsh Posté le 10-07-2013 à 10:59:26    

Reply

Marsh Posté le 10-07-2013 à 11:05:09    

bardiel a écrit :

Le Tor, tue :o


 
 [:yoakhaz]


---------------
In my bed, but still_at_work.
Reply

Marsh Posté le 10-07-2013 à 11:38:13    

bon je suis encore trop naïf ??   :whistle:

Reply

Marsh Posté le 10-07-2013 à 23:01:19    

La solution c'est :
-Charte info
-Enregistrement des utilisateurs dans un registre papier avec date/heure
-Log avec correspondance ip<=>proto (le reste on s'en fou)
Et tu met le tout a disposition des autorités compétentes. Toi, tu fourni un accès neutre, derrière les gens se doivent d'assumer leurs utilisations. Et si y'en a un qui fait du tunneling, tu verra une correspondance ip<=>https ou ssh, donc pour toi il faisait rien d'illegal au moment incriminé, et que tu peu te justifier en disant qu'en tant qu'admin, tu n'a pas les compétences pour vérifier les flux et que le DPI n'est pas autorisé en France pour espionner ses compatriotes.
 
Tu es couvert par ta charte et le fait de pouvoir identifier qui fait quoi (sans avoir a voir les communications), et vue que c'est une mise a disposition au publique, eux sont avertis qu'ils sont responsable (et doivent l'être dans tout les cas).

Reply

Marsh Posté le 29-08-2013 à 17:09:03    

Un proxy avec Peerbloc installé, configuré pour laisser passer les http. Je l'utilise depuis plus de 2 ans sans aucun rappel d'adopi.

Reply

Marsh Posté le 09-09-2013 à 09:59:01    

metagreen a écrit :

Un proxy avec Peerbloc installé, configuré pour laisser passer les http. Je l'utilise depuis plus de 2 ans sans aucun rappel d'adopi.

 

Ca me parait une bonne solution, le proxy, mais ca implique un paramétrage application par application. Une autre purement matérielle serait l'utilisation d'un routeur qui fasse du Deep Packet Inspection et non du simple blocage de ports, + log adresse MAC+IP et heures des tentatives.

 

Le mieux serait quand même un réseau wifi "public" avec authentification individuelle via http, ça permet de conserver une trace de tout donc de se prémunir contre d'éventuels problèmes juridiques. A partir du moment où les gens viennent avec leurs ordis ou leurs téléphones se connecter au wifi, ils peuvent potentiellement être infectés par des virus et utiliser le dit réseau pour envoyer des spams, par exemple ... il faut donc être capable de dire que 192.168.1.52 à 10h30, c'est Mr DUBOIS qui a envoyé 15000 SPAMS.


Message édité par philippe06 le 09-09-2013 à 10:08:49

---------------
Aimer les femmes intelligentes est un plaisir de pédéraste. (Charles Baudelaire) - Vous vulgarisez :o (Jean-Kevin Dubois)
Reply

Marsh Posté le 09-09-2013 à 11:06:06    

MysterieuseX a écrit :

La solution c'est :
-Charte info
-Enregistrement des utilisateurs dans un registre papier avec date/heure
-Log avec correspondance ip<=>proto (le reste on s'en fou)


Sans trop "rire", un pote a vu passé une demande similaire dans sa boîte, où le chef de service informatique lui a demandé d'étudier une demande de ce genre. Avec en sortie papier un log automatique sur une imprimante matricielle et du papier à listing :pt1cable:


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 09-09-2013 à 15:44:30    

Merci pour vos réponses, je vais transmettre ces idées à l'association.

Reply

Marsh Posté le 12-09-2013 à 00:55:10    

bardiel a écrit :


Sans trop "rire", un pote a vu passé une demande similaire dans sa boîte, où le chef de service informatique lui a demandé d'étudier une demande de ce genre. Avec en sortie papier un log automatique sur une imprimante matricielle et du papier à listing :pt1cable:


Le truc, c'est qu'il faut une signature systématique du "client" et/ou utilisateurs, pour te couvrir toi des problèmes qu'ils peuvent engendrer, ou pour se couvrir eux vis à vis des autres utilisateurs, et vue que devant la lois (je parle pas devant les services de l'état) seule la signature papier est valide, faut que le journal soit papier.

Reply

Marsh Posté le 12-09-2013 à 08:53:12    

ça peut être tendancieux aussi le coup de la signature, car signature prise "quand" ? Dans une entreprise ok il y a la signature du contrat de travail, donc si le service informatique (ou le RH dans les plus petites boîtes où c'est externalisé) a fait son travail et inclus la charte informatique dans le contrat en note ça peut passer.
 
Après il m'est arrivé d'aller dans un hôtel, de payer par carte bancaire, de jamais signer quoi que ce soit "de ma main" et d'aller sur internet...
 
Là le pote bosse dans une entreprise relativement importante (150 personnes avec beaucoup d'informatique), mais le coup du log papier, c'est devenu rare au profit d'un log sur disque dur.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 01-10-2013 à 13:01:15    

Ben oui, mais a charge de l'entreprise de prouver que son log est valide dans ce cas, le cadre légal existe, jamais encore appliqué, et je souhaite bonne chance a un DSI qui voudrait son application, parce que les closes législatives sont stricto sensus et pas soumise a interprétation et donc vue que dans 99% des cas, je connais pas d'entreprise avec certificat digital signant les logs (premier point qui validerait le log sans avoir a avoir un contrôle d'huissier pour validation en permanence) et que l'obtention de ce certif ... C'est flou xD Hormis a bosser dans une banque et encore, y'a des fois c'est olé-olé.
Journal papier au moins est légal d'un point de vue législatif et pas chiant a mettre en oeuvre.


Message édité par MysterieuseX le 01-10-2013 à 13:01:44
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed