Informations techniques Contrôle d accès Centralisé Multi-sites Investissement et exploitation optimisés La solution de contrôle d accès centralisée de Netinary s adresse à toute structure souhaitant proposer un service d accès Internet haut débit sur des sites distants. Elle s adresse typiquement aux opérateurs télécom, mais aussi aux chaînes d hôtel, aux sociétés de services, ou aux grandes sociétés ayant des succursales dispersées. Serveur de Roaming NOC centralisé Serveur Central Bases de données externes ( LDAP ) La solution est structurée autour d un serveur central (Central Multibox) dans le Data Center de la société (NOC), et de contrôleurs d accès (SMB ou EMB) sur les sites d accès Internet (Hotspots). Cette solution permet d opérer et de contrôler simplement aussi bien des groupes de sites homogènes que des sites hétérogènes depuis un même serveur central. La gestion des sites peut se faire par groupe ou individuellement ce qui permet de proposer un service multi-sites et multi clients à la carte, et de réduire aux maximum les coûts opérationnels et les dépenses d investissement pour la gestion de tels services. Contrôleur d Accès SMB Hotspot Site m Internet Contrôleur d Accès SMB Contrôleur d Accès EMB Hotspot Site p La solution Netinary permet une montée en charge suivant les besoins de «l opérateur» et de son réseau de hotspots : Haute disponibilité, Cluster, Roaming vers d autres opérateurs, Paiement par carte bancaire, Hotspot Site n Caractéristiques et avantages Optimisation du management grâce à une gestion centralisée L administration centralisée de la solution MultiBox Multi-sites permet une réduction des coûts opérationnels. Elle permet d optimiser les sauvegardes, les temps de déploiement, de paramétrage, et de suivi des sites. Il est possible de travailler par groupes de sites (quand plusieurs sites présentent des similarités) tout en laissant une grande liberté de paramétrage des spécificités propres à chacun. Les automatismes mis en œuvre permettent un management rapide avec un minimum de compétences. Réduction des équipements et des investissements La mise en place d une solution distribuée (CMB / SMB-EMB) permet de réduire considérablement le coût total d investissement par rapport à une architecture de sites autonomes. En effet, les SMB et EMB sont des contrôleurs légers (pas de base de données utilisateurs à gérer) avec un coût optimisé. D autre part, ils intègrent l ensemble des fonctions réseau et sécurité (Firewall, Partage de charge sur plusieurs liens WAN, client VPN pour interconnexion sécurisée avec le site central, filtrage URL, ). Ils permettent ainsi de réduire au maximum les équipements et les investissements sur les sites.
Contrôle d accès Centralisé Caractéristiques et avantages des comptes à la carte Pour répondre aux politiques de connexion les plus diverses, et permettre une gestion des comptes la plus appropriée, une grande variété de mécanismes est disponible sur les solutions Netinary au travers d une interface Web sécurisée : création de comptes par lots, création et impression de compte à la volée, autocréation de compte par le visiteur. D autre part, tout ou partie de la gestion des comptes peut être déléguée à un personnel non technique sans installation de logiciel sur le poste de l accueil. L interface de création de comptes est entièrement personnalisable par l administrateur. Bases de données externes intégrables Si l entreprise souhaite utiliser sa propre base d utilisateurs, qu elle soit de type Active Directory, Novell, edirectory, Kerberos ou autre, via les protocoles LDAP ou RADIUS. Il est également possible d utiliser l API WEB Services pour interfacer le Central MultiBox avec des applications métiers ( des badges, boarding, ). D autre part, le Central MultiBox s interface facilement avec des fédérations d identité grâce au module Shibboleth. Facturation La gestion de la facturation des connexions peut se faire sur un poste d accueil du site, sans logiciel spécifique, ou directement par paiement Carte Bancaire et/ou PayPal. Il est également possible d interfacer les MultiBox avec la plupart des systèmes de facturation courants dans le monde hôtelier (Fidelio, OPERA, Locatel), de façon à facturer l utilisateur directement sur sa note d hôtel. Authentification 802.1X et EAP Pour la mise en place de la norme 802.11i et l authentification EAP sur une infrastructure WiFi, le Contrôleur MultiBox agit comme serveur RADIUS permettant aux utilisateurs de s authentifier avec les méthodes EAP PEAP, TTLS ou TLS. Contraintes légales La loi n 2006-64 du 23 janvier 2006 et le décret n 2006-358 du 24 mars 2006 imposent la sauvegarde des données de connexions des utilisateurs pendant 1 an et de leur suppression ensuite. Les Contrôleurs MultiBox permettent de collecter, de sauvegarder et de retrouver facilement et rapidement les informations sans avoir recours à un produit supplémentaire. Sécurité renforcée sur site Le contrôleur MultiBox veille à la sécurité réseau. Il authentifie les utilisateurs avant qu ils n accèdent à leurs ressources ; l l authentification comme le paiement se font en environnement sécurisé et les communications entre le terminal utilisateur et le contrôleur sont cryptées (SSL). Un firewall protège des intrusions, et le contrôleur gère les black-lists et les white-lists par IP, par protocole et par plage d adresses. Tous ces paramètres peuvent être définis en central ou directement sur le contrôleur si besoin. Portail captif et contrôle d accès personnalisables Le contrôleur MultiBox se positionne entre le réseau d accès de l utilisateur nomade et l accès Internet de l entreprise. Il oblige le visiteur à s authentifier via une interface web personnalisable (selon la charte graphique et la politique d accès internet de l entreprise). L accès à Internet est paramétrable en fonction du profil de l utilisateur du site et de sa localisation ; il est alors possible de restreindre l accès pendant un certain temps, à certaines heures, à certaines applications et avec une bande passante limitée. L administrateur peut définir des ressources (tel qu un serveur financier, un routeur ou un sous réseau d adresses IP), des services (tels que http, FTP, POP3) et contrôler leur accès suivant les utilisateurs. La gestion des portails est réalisée en central. Un outil performant permet de définir quels portails seront automatiquement affichés sur quels sites suivant différents critères (périodes, interfaces, ). Filtrage d URL Si l administrateur désire contrôler les sites web auxquels l utilisateur accède, il est très simple d activer le filtrage URL au niveau du contrôleur de site MultiBox. Le filtrage s effectue sur 3 niveaux d analyse et peut être différencié suivant le profil de l utilisateur. La solution propose 50 catégories de filtrage prédéfinies mais l administrateur à la possibilité d en définir de nouvelles. La politique de filtrage peut être définie de façon centralisée ou site par site. Pas d intervention sur le terminal utilisateur La fonctionnalité «zéro configuration» affranchit de toute intervention de configuration sur le terminal utilisateur réduisant ainsi les besoins de support. Elle ouvre le réseau au visiteur quelle que soient la configuration de son adresse IP, ou celle de son DNS, et quels que soient les paramètres de son proxy et de sa messagerie. Elle libère ainsi le nomade de contraintes techniques avant et après son passage sur le site pour un plus grand confort d utilisation du service.
Informations techniques Les Serveurs centraux Netinary Serveur Central CMB Serveur de Roaming RMB Les Central MultiBox (CMB) sont des serveurs de réseau dont le but est de piloter les différents contrôleurs d accès déployés sur site (SMB, EMB ou équivalents). Ils constituent une solution complète pour les tâches de back-office critiques typiquement situées dans le cœur de réseau opérateur telles: la gestion des comptes utilisateurs et des groupes, les droits d accès suivant les sites, l authentification, la facturation, la gestion des obligations légales. Les Roaming MultiBox (RMB) sont des serveurs de réseau dont le but est de gérer la politique des accords de roaming entre opérateurs. Ils permettent de définir simplement les accords de roaming par site, d adapter les flux de données entre les opérateurs et de gérer la compensation. Administration Sites Portails Opérateurs Utilisateurs Provisioning Offres API WebServices LDAP Radius Logs Authentication Authorization Accounting Module Accueil Roaming Monitoring & Management PMS API Web Services Autocréation Compte Fichiers à plat SMS - SMTP - FTP Shibboleth - Kerberos Liens externes Bases Utilisateurs & Logs Fail Over - Cluster Module Accueil Création comptes en volume CB - PayPal PMS Abonnements Vouchers Fichiers à plat Facturations &Reporting
Les Serveurs centraux Netinary Caractéristiques principales Administration et Supervision centralisée via interfaces Web sécurisées (HTTPS, SSH) du réseau local ou à distance Statistiques et reporting commerciaux - export automatique de fichiers des incidents SNMP, NAGIOS Plusieurs langues possibles Relevés d incidents, notifications emails Hierarchie d administrateurs Groupes d opérateurs de comptes (limitations possibles suivant le site) Template de portails, gestion centralisée et automatique évoluée des utilisateurs Aucun logiciel supplémentaire requis Support IP Zéro configuration : Ip fixe et DHCP SMTP zéro configuration Proxy et DNS zéro configuration Accès public et privé (profil, priorité) Popup de suivi des connections Redirection de sites web personnalisable (par profil utilisateur) Portail d accueil personnalisable (par Sites, par interface, par groupe de Point d Accès) Limitation des connexions suivant profil utilisateur par : Sites, Zone Plage horaire, Jours de la semaine Limitation des protocoles et des IP en fonction du profil utilisateur Qualité de service des profils Bande passante limitée par utilisateurs, par groupe (envoi et réception) Répartition automatique de la bande passante entre les utilisateurs Profil de filtrage d URL par utilisateur Haute disponibilité Appliance avec double alimentation et disques Raid Configuration en Fail - Over Cluster pour haute disponibilité et charges importantes Provisionning et Facturation Portail pour création de comptes Hiérarchie d opérateur s de comptes Vouchers (date de départ date de fin, durées limitées, après première utilisation, connections limitées) Prépayé Interface vers operateur BSS, CRM Paiement en ligne par Carte Bancaire et PayPal SMS Import de fichiers Autocréation de compte par l utilisateur Interface Web Services Interface avec logiciel de facturation (PMS) Création et impression de comptes en volume Authentification et Comptabilité Authentification via support HTTPS/SSL Autorisation en fonction du profil utilisateur Multiples méthodes et protocoles d authentification Code d accès - Identifiant/Mot de passe SMS 802.1x : PEAP, TLS, TTLS Adresse MAC Multiples méthodes de comptabilité Temps, Volume, Qualité du service Interface vers bases LDAP et Active Directory Interface vers bases RADIUS Interfaces Shibboleth, Kerberos, Eduroam du complément de profil si utilisateur dans base externe Roaming Support pour des solutions de roaming externes Support du Proxy Radius Compatible WispR et Wireless Link Architecture simple et ouverte Intégration d applications externes via WebServices Conçu pour capitaliser sur les développements à venir des technologies sans fil Supporte les dispositifs LAN standards (Point d Accès, Switch, router)
Informations techniques Les contrôleurs de site SMB - EMB Les contrôleurs de site SMB et EMB, sont spécialement conçus pour un contrôle d accès et une gestion centralisée. Leur management se fait principalement via le serveur central. Les bases de données sont centralisées. La gestion des comptes utilisateurs, des groupes et des offres se fait par le serveur central. La gestion des VLANs sur les interfaces Wifi et WAN permet à l opérateur ou à l entreprise de développer une politique de services différenciés selon les diverses populations accueillies sur chaque hotspot. Chaque VLAN à ses propriétés spécifiques ; il est associé à un SSID et à une méthode d authentification : - ouverte (login / mot de passe) associée à un portail d accueil spécifique au VLAN - ou fermée (802.1x) sans portail d authentification. Des mécanismes de sécurité renforcés assurent que le service Hotspot ne perturbe pas le bon fonctionnement des applications propres à l entreprise et protègent les visiteurs d attaques pouvant provenir d Internet ou du terminal d un autre utilisateur. D autres fonctionnalités telles que l impression WEB, le filtrage d URL suivant le profil de l utilisateur, ou l affectation d adresse IP publique afin d être joignable depuis l extérieur, sont disponibles sur les MultiBox de Netinary. Contraintes légales Les contrôleurs de site MultiBox intègrent les mécanismes permettant de respecter les contraintes techniques liées aux obligations légales françaises et européennes. D autres mécanismes ont été implémentés de façon à simplifier et automatiser l exploitation des données en cas de requête judiciaire. Missions principales Support de tout type de terminal utilisateur IP Zéro configuration Support IP Fixes / Dhcp SMTP Zéro configuration Proxy Zéro configuration Fonctions localisation (SSID/ AP) Portail spécifique Accès limités sur une zone (AP) Restrictions suivant profil Règles de routages Filtrage de protocoles, d IP QoS, temps, volume, site, Zone, Mac Adresse, VPN, Support des Smart Clients WispR Bluevider Access (Smart Client NETINARY) Interfaces Radius de VPN IPSEC vers le NOC (sécurisation du trafic radius) Support de VLAN (coté Wifi et coté Wan) de la sécurité et Contrôle d accès Pare-feu dynamique intégré d alarmes (intrusions, ) Routes statiques Rafraîchissement «forcé» des tables ARP des clients Détection fine de déconnexion Isolation des utilisateurs ARP anti spoofing Blacklisting utilisateurs Principaux Modules en option Module Web Services Module Interface Client PMS - Micros Fidelio/Opera, locatel Module Agrégation de liens / loadbalancing Module Filtrages URL
Les Contrôleurs de site Caractéristiques principales SMB - EMB EMB 50 SMB 100 SMB 300 SMB 800 Nombre maximum d utilisateurs simultanés 50 100 300 800 Zéro-configuration IP publique suivant profil utilisateur - Proxy transparent (http, https ) - Contraintes légales Comptabilité en Temps et en Volume Autocréation de compte Filtrage d URL Cascading sur Central MultiBox Profil de routage de plusieurs sites - Loadbalancing sur plusieurs liens WAN - Support des VLAN 802.1Q - Intégration PMS, Fidelio, Opera, Locatel - Redondance (Fail-over) - Répartition de charge - Géo- localisation - Authentification 802.1x EAP - Filtrage protocolaire par type d utilisateur - Statistiques sur URL consultées - Interfaces Ethernet 5x10/100 5x10/100 4x10/100/1000 4x10/100/1000 Format appliance Boitier Boitier Rack 1U Rack 1U SIEGE SOCIAL 22, avenue de Saint Barnabé 13004 MARSEILLE FRANCE Tél. + 33 (0)4 95 08 00 85 Pour plus d informations : info@netinary.com Confidential - Netinary - Novembre 2009 - RCS Marseille 434 626 412 Document non contractuel - Netinary et MultiBox sont des marques déposées de NETINARY SA, les autres marques, noms de commerce, de sociétés ne servent qu à leur identification et sont la propriété de leurs sociétés respectives.