Le 07/11/2016 à 17:33, hamster a écrit : > Le 07/11/2016 10:20, Olivier a écrit : >> Comme nous utilisons souvent des box d'opérateur sur des lignes ADSL, >> nous ne maîtrisons pas le NAT. >> Ceci limite l'intérêt des logs dans la perspective de responsabiliser >> les utilisateurs sur leurs actes. >> Ma priorité va donc être de changer ça afin de pouvoir associer chaque >> flux sortant à une machine émettrice et son propriétaire. > > Brancher entr la box et le reste du réseau un routeur qui va se charger > de faire le NAT et enregistrer les logs. C'est mieux si on arrive a > mettre la box en mode bridge, ca évite d'avoir 2 NAT en cascade. > > En plus ca permet de faire des VLAN et donc de séparer les usagers, > genre les adresses MAC connues sont branchées sur le VLAN du personnel > (acces aux imprimantes, firewall plus cool, etc…) alors que les > visiteurs de passage avec adresses mac inconnues son branchées sur un > VLAN bien isolé et sécurisé. Beaucoup d'administrateurs réseau font ca > en réservant les prises ethernet pour le personnel et en obligeant les > visiteurs a se connecter en wifi, ce qui est une ineptie parce que ca > exclue les visiteurs non équipés de wifi. >
Voir le service juridique : on n'a pas le droit de conserver les logs indéfiniements et même certains peuvent être interdits de collecte. DOnc service juridique + ordre écrit décrivant ce qu'il faut mettre en œuvre.
