Sécurisation des accès à Internet

Accès interditContrôlez les utilisateurs à qui vous fournissez un accès Internet au moyen d'un NAC et d'un portail captif

L’utilisation d’un portail captif consiste à forcer les clients désireux d’accéder à Internet, à s'authentifier au préalable sur une page Web spécifique, avant d’atteindre la page Web initialement souhaitée.

En complément de l’authentification, cette solution permet de proposer différents services et tarifications associés à l’accès internet. Par exemple, il devient simple de bloquer l’accès à des sites Web spécifiques, de rendre un point d’accès WiFi payant, ou encore de limiter la durée d’une connexion. Les usagers du réseau, pour accéder à celui-ci, doivent avoir une autorisation obtenue en saisissant un identifiant et un mot de passe valides, obtenus par exemple depuis des tickets de connexion que l’on peut pré-imprimer, ou encore éventuellement depuis un SMS reçu automatiquement.

Notre solution est compatible avec tous les types d’équipement (ordinateurs, smartphones, tablettes, consoles de jeux, smartTV, etc.) et avec tous les types de réseaux, qu’ils soient filaires ou sans fil.

Contraintes légales

Si vous souhaitez partager un accès Internet, de manière payante ou pas, à vos utilisateurs, vous êtes soumis à un certain nombre d'obligations légales que vous vous devez de respecter : 

  • La directive européenne 2006/24/CE sur la conservation des données ;
  • La loi française 2004-575 (consolidée le 19/05/2011), dîte "loi pour la confiance dans l'économie numérique" ;
  • Le décret français 2011-219 relatif à la conservation et à la communication des données, permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne. Journalisation conforme aux préconisations de la CNIL et du CERTA (CERTA-2008-INF-005). Intégration des recommandations ANSSI (audit de sécurité).

Un évantail complet de fonctionnalités avancées

1- Authentification des utilisateurs

Dans le cas d’une exploitation d’un point d’accès à Internet public ou semi-public, certaines contraintes légales doivent être respectées. Il est notamment demandé de pouvoir fournir, en cas de commission rogatoire, les journaux de connexions des utilisateurs.

Dans ce contexte, il faut préalablement procéder à une authentification de chaque utilisateur sur le réseau, au moyen d’un identifiant et d’un mot de passe.

Avec notre système, lorsqu’un utilisateur souhaite se connecter, une fenêtre de connexion (dont la charte graphique est personnalisable) est automatiquement affichée de façon à ce que cet utilisateur puisse simplement procéder à son authentification. Par ailleurs, afin de faciliter l’authentification des utilisateurs nomades, le système permet l’impression automatique de tickets de connexion sur lesquels un identifiant et un mot de passe sont automatiquement générés, autorisant ainsi un utilisateur éphémère à accéder à Internet pour une durée limitée.

2- Filtrage avancé des flux

Notre solution propose un système très avancé de filtrage de flux Web. Il est ainsi possible de filtrer l’affichage de sites Web en fonction de leur adresse URL, de leur contenu, de leur adresse IP, etc. Une liste de sites susceptibles d’être filtrés est, par ailleurs, intégrée de façon à faciliter leur blocage ; cette liste est mise à jour très régulièrement.

Il est même possible de modifier dynamiquement le résultat de certains moteurs de recherche de façon à ce qu’il n’affichent pas dans leurs résultats des sites Web dont la consultation serait interdite.

Les listes des sites Web accessibles peuvent être gérées individuellement par utilisateur, ou bien par groupe d’utilisateurs ; de la même façon, il est possible de prendre en compte des listes d’exceptions de sites Web autorisés.

Enfin, il est également possible de filtrer les flux par type de logiciel installé sur chaque ordinateur client, de façon, par exemple, à interdire le trafic Torrent, Peer2Peer, etc.

3- Sécurisation contre les attaques

Le système possède un système de détection active d’intrusion (IPS) dont les bases de signatures sont très régulièrement mises à jour. Ainsi, les utilisateurs sont protégés des tentatives d’attaque en provenance de l’extérieur du réseau.

4- Sécurisation contre les virus et les logiciels malveillants

La solution intègre un système anti-virus afin d’assurer la meilleure protection possible pour les utilisateurs face aux attaques virales. Par ailleurs, les logiciel malveillants (malwares) sont automatiquement détectés au sein même des pages Web consultées par les utilisateurs.

5- Conception du système sécurisée

Cette infrastructure repose sur une solution logicielle, modifiée par nos soins, notamment basée sur un noyau Unix, et présentant donc un haut niveau de sécurité et de résistance aux attaques.

6- Serveurs DHCP et DNS

Pour plus de simplicité, lorsque cela est nécessaire, la solution intègre nativement un serveur DHCP, nécessaire pour fournir automatiquement aux utilisateurs une adresse IP pour communiquer sur le réseau, ainsi qu’un serveur DNS, indispensable pour surfer simplement sur Internet.

7- Prise en charge AAA

Cette solution est compatible AAA, protocole de sécurité répandu, en charge de l’authentification des utilisateurs, de la vérifications de leurs autorisations sur le réseau, et de la journalisation de leurs activités.

L’authentification est compatible Active Directory, OpenLDAP Radius et Tacacs, afin de synchroniser les accès à Internet avec une base de comptes d’utilisateurs existante. Dans la cas où c’est la base de données locale d’utilisateurs qui est utilisée, il est possible de la compléter rapidement via une importation de fichiers CSV.

8- Intégration NTP

Afin que tous les journaux d’activité des utilisateurs soient parfaitement horodatés, le protocole NTP est intégré (aussi bien en mode client qu'en mode serveur), de sorte que l’horloge interne du serveur soit toujours parfaitement synchronisée.

9- Répartition de charge et limitation de trafic

Si vous disposez de plusieurs accès Internet, le système peut gérer la répartition de charge entre les différentes connexions, de façon à rendre les accès plus rapides pour vos utilisateurs. Par ailleurs, en cas de défaillance d’une connexion Internet, le trafic Web est automatiquement dirigé sur la ou les connexions fonctionnelles restantes.

Il est également possible de limiter la bande passante disponible par utilisateur, de façon à ce qu’une éventuelle sur-utilisation de la bande passante disponible par un utilisateur unique ne vienne pas dégrader la qualité de service offerte aux autres utilisateurs.

10- Remontée de statistiques

De façon à toujours garder le contrôle de votre système, ainsi qu’une bonne vision de l’activité de vos utilisateurs, de nombreuses statistiques sont disponibles et aident à prévoir les évolutions à effectuer sur le système.


Devenez partenaire !

Notre offre de sécurisation des accès Internet est proposée en vente indirecte, auprès de notre réseau de partenaires, sur la France entière.

N'hésitez pas à nous contacter pour en savoir davantage.