Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Sécurité des Systèmes d'Information et de Communication EXPLOITATION Ce documen

Sécurité des Systèmes d'Information et de Communication EXPLOITATION Ce document présente les possibilités d'exploitation et d'administration d'ALCASAR à travers le centre de gestion graphique ou au moyen de lignes de commandes Linux. Projet : ALCASAR Auteur : Rexy et 3abtux avec l'aide de l'équipe « ALCASAR Team » Objet : Document d'exploitation Version : 2.9 Mots clés : portail captif, contrôle d'accès, imputabilité, traçabilité, authentification Date : Mars 2015 Document d'exploitation ALCASAR – 2.9 1/38 Table des matières 1.Introduction.........................................................................................................................................................3 2.Configuration réseau...........................................................................................................................................4 2.1.Paramètres d'ALCASAR...........................................................................................................................................5 2.2.Paramètres des équipements de consultation.............................................................................................................5 3.Gérer les utilisateurs et leurs équipements..........................................................................................................7 3.1.Activité sur le réseau.................................................................................................................................................7 3.2.Créer des groupes......................................................................................................................................................8 3.3.Éditer et supprimer un groupe...................................................................................................................................9 3.4.Créer des utilisateurs.................................................................................................................................................9 3.5.Chercher, éditer et supprimer un utilisateur.............................................................................................................10 3.6.Importer des utilisateurs..........................................................................................................................................11 3.7.Vider la base des usagers.........................................................................................................................................11 3.8.Les exceptions à l'authentification...........................................................................................................................11 3.9.Auto enregistrement par SMS.................................................................................................................................12 4.Filtrage...............................................................................................................................................................15 4.1.Liste noire et liste blanche.......................................................................................................................................15 4.2.Filtrer les flux réseau...............................................................................................................................................16 5.Accès aux statistiques........................................................................................................................................17 5.1.Nombre de connexions par usager et par jour.........................................................................................................17 5.2.État des connexions des usagers..............................................................................................................................17 5.3.Usage journalier......................................................................................................................................................18 5.4.Trafic global et détaillé...........................................................................................................................................18 5.5.Rapport de sécurité.................................................................................................................................................20 6.Sauvegarde........................................................................................................................................................20 6.1.Des traces des connexions.......................................................................................................................................20 6.2.De la base des usagers.............................................................................................................................................21 7.Fonctions avancées............................................................................................................................................21 7.1.Gestion des comptes d'administration.....................................................................................................................21 7.2.Administration sécurisée à travers Internet.............................................................................................................21 7.3.Mise en place du logo de l'organisme......................................................................................................................24 7.4.Manipulation avec le certificat serveur...................................................................................................................24 7.5.Utilisation d'un serveur d'annuaire externe (LDAP ou A.D.)...................................................................................25 7.6.Intégration dans une architecture complexe (A.D., DHCP externe, LDAP)............................................................26 7.7.Chiffrement des fichiers journaux...........................................................................................................................27 7.8.Gestion de plusieurs passerelles Internet (load balancing)......................................................................................28 7.9.Créer son PC dédié ALCASAR..............................................................................................................................28 7.10.Contournement du portail (By-pass).....................................................................................................................28 8.Arrêt, redémarrage, mises à jour et réinstallation..............................................................................................29 8.1.Arrêt et redémarrage du système.............................................................................................................................29 8.2.Mises à jour du système d'exploitation....................................................................................................................29 8.3.Mise à jour mineure d'ALCASAR..........................................................................................................................29 8.4.Mise à jour majeure ou réinstallation d'ALCASAR................................................................................................29 9.Diagnostics........................................................................................................................................................30 9.1.Connectivité réseau.................................................................................................................................................30 9.2.Espace disque disponible........................................................................................................................................30 9.3.Services serveur ALCASAR...................................................................................................................................30 9.4.Connectivité des équipements de consultation........................................................................................................30 9.5.Connexion à ALCASAR par un terminal « série »..................................................................................................32 9.6.Problèmes déjà rencontrés.......................................................................................................................................32 10.Sécurisation.....................................................................................................................................................33 10.1.Du serveur ALCASAR..........................................................................................................................................34 10.2.Du réseau de consultation.....................................................................................................................................34 11.Annexes...........................................................................................................................................................36 11.1.Commandes et fichiers utiles................................................................................................................................36 11.2.Exceptions d'authentification utiles.......................................................................................................................37 11.3.Fiche « usager »....................................................................................................................................................38 Document d'exploitation ALCASAR – 2.9 2/38 1. Introduction ALCASAR est un contrôleur d'accès au réseau (NAC : Network Access Controler) libre et gratuit. Ce document a pour objectif d'expliquer ses différentes possibilités d'exploitation et d'administration. Concernant les utilisateurs du réseau de consultation, la page d'interception suivante est affichée dès que leur navigateur tente de joindre un site Internet en HTTP. Cette page est présentée en 6 langues (anglais, espagnol, allemand, hollandais, français et portugais) en fonction de la configuration de leur navigateur. Tans qu'ils n'ont pas satisfait au processus d'authentification, aucune trame réseau ne peut traverser ALCASAR. La page d'accueil du portail est consultable à partir de n'importe quel équipement situé sur le réseau de consultation. Elle est située à l'URL http://alcasar (ou http://alcasar.localdomain). Elle permet aux usagers de se connecter, de se déconnecter, de changer leur mot de passe et d'intégrer le certificat de sécurité dans leur navigateur. Cette page permet aux administrateurs d'accéder au centre de gestion graphique « ACC » (ALCASAR Control Center) en cliquant sur la roue crantée située en bas à droite de la page (ou via le lien : https://alcasar.localdomain/acc). Ce centre de gestion est exploitable en deux langues (anglais et français) via une connexion chiffrées (HTTPS). Une authentification est requise au moyen d'un compte d'administration lié à l'un des trois profils suivants (cf. §7.1) : ● profil « admin » permettant d'accéder à toutes les fonctions d'administration du portail ; ● profil « manager » limité aux tâches de gestion des usagers du réseau de consultation ; ● profil « backup » limité aux tâches de sauvegarde et d'archivage des fichiers journaux. Document d'exploitation ALCASAR – 2.9 3/38 Attention : Le détecteur d’intrusion intégré à ALCASAR interdira toute tentatives de nouvelle connexion pendant 3’, s’il a détecté 3 échecs consécutifs de connexion au centre de gestion. 2. Configuration réseau Les équipements de consultation peuvent être connectés sur le réseau de consultation au moyen de différentes technologies (filaire Ethernet, WiFi, CPL, etc.). Pour tous ces équipements, ALCASAR joue le rôle de serveur de noms de domaine (DNS), de serveur de temps (NTP) et de routeur par défaut (default gateway). ATTENTION : Sur le réseau de consultation, il ne doit y avoir aucun autre routeur (vérifiez bien la configuration des points d'accès WIFI). Le plan d'adressage IP du réseau de consultation est défini lors de l'installation du portail. Exemple pour un réseau de consultation en classe C (proposé par défaut) • Adresse IP du réseau : 192.168.182.0/24 (masque de réseau : 255.255.255.0) ; • Nombre maximum d'équipements : 253 ; • Adresse IP de la carte eth1 d'ALCASAR : 192.168.182.1/24 ; • Paramètres des équipements : ◦ adresses IP disponibles : de 192.168.182.3 à 192.168.182.254 (statiques ou dynamiques) ; ◦ adresses du serveur DNS : 192.168.182.1 (adresse IP d'ALCASAR) ; ◦ suffixe DNS : localdomain (ce suffixe doit être renseigné pour les équipements en adressage statique) ; ◦ adresse du routeur par défaut (default gateway) : 192.168.182.1 (adresse IP d'ALCASAR) ; ◦ masque de réseau : 255.255.255.0 Document d'exploitation ALCASAR – 2.9 4/38 Réseau de consultation Point d'accès WIFI (fonctions de routage et DHCP inhibées) Routeurs de sortie (équipements de FAI) ALCASAR Adaptateur CPL Commutateur (switch) Commutateur ou Routeur « multi-WAN ». Cet équipement optionnel permet d'équilibrer la charge quand plusieurs connexions Internet sont utilisées simultanément. Internet CPL Répéteur WIFI 2.1. Paramètres d'ALCASAR Le menu « système » + « réseau » vous permet de visualiser les paramètres réseau d'ALCASAR. a) Configuration IP Ces paramètres ne sont actuellement pas modifiables directement via l'interface graphique. Vous pouvez néanmoins les changer via le mode console en éditant le fichier « /usr/local/etc/alcasar.conf ». Une fois vos modifications effectuées, activez-les en lançant la commande « alcasar-conf.sh -apply ». b) Serveur DHCP Le serveur DHCP (Dynamic Host Control Protocol) fournit de manière dynamique les paramètres réseau aux équipements de consultation. Vous pouvez réserver des adresses IP pour vos équipements exigeant un adressage fixe (ou statique) comme vos serveurs, vos imprimantes ou vos points d'accès WIFI (cf. §2.2.d). ALCASAR doit être le seul routeur et le serveur DHCP sur le réseau de consultation. Dans le cas contraire, assurez-vous de bien maîtriser l'architecture multi-serveur DHCP (cf. §8.6.a concernant la cohabitation avec un serveur A.D. ©). 2.2. Paramètres des équipements de consultation a) Configuration des équipements des utilisateurs Une fiche explicative à destination des usagers est disponible à la fin de ce document. Les équipements des usagers doivent être configuré en mode DHCP. Ils ne nécessitent qu'un simple navigateur acceptant le langage « JavaScript » ainsi que les fenêtres « pop-up ». Pour être intercepté par ALCASAR, la page de démarrage par défaut de ce navigateur doit être un site WEB Internet accessible en HTTP. Les paramètres de proxy doivent être désactivés. b) Ajout d'un favoris / marque-page (bookmark) Dans les navigateurs, il peut être pratique d'ajouter un favori pointant vers la page d'accueil d'ALCASAR (http://alcasar) afin de permettre aux usagers de changer leur mot de passe, de se déconnecter ou d'intégrer le certificat de sécurité d'ALCASAR. Document d'exploitation ALCASAR – 2.9 5/38 c) Intégration du certificat de l'Autorité de Certification d'ALCASAR Certaines communications effectuées entre les équipements de consultation et ALCASAR sont chiffrées au moyen du protocole SSL (Secure Socket Layer). Ce chiffrement exploite deux certificats créés lors de l'installation : le certificat d'ALCASAR et le certificat d'une Autorité de Certification locale (A.C.). Par défaut, les navigateurs WEB situés sur le réseau de consultation ne connaissent pas cette autorité. Ils présentent donc les fenêtres d'alerte suivantes lorsqu'ils communiquent pour la première fois avec le portail. « Mozilla-Firefox » « Microsoft-I.E. » « Google-chrome » Bien qu'il soit possible de poursuivre la navigation, il est intéressant d'installer le certificat de cette A.C. dans les navigateurs afin qu'ils ne présentent plus ces fenêtres d'alerte1. Pour cela, cliquez sur la zone « Installer le certificat racine » de la page d'accueil d'ALCASAR. Pour chaque navigateur, l'installation est la suivante : « Mozilla-Firefox » Konqueror « Internet Explorer 8 » et « Safari » « Google chrome » : Chrome enregistre le certificat localement en tant que fichier (« certificat_alcasar_ca.crt »). Sélectionnez « préférences » dans le menu de configuration, puis « options avancées », puis « gérer les certificats » et enfin « importer » de l'onglet « Autorités ». 1 Vous pouvez éviter cette manipulation soit en achetant et en intégrant à ALCASAR un certificat officiel reconnu par l'ensemble des navigateurs (cf. §8.4), soit en désactivant le chiffrement des flux d'authentification au moyen du script « alcasar-https.sh {-on|-off} ». La désactivation du chiffrement implique que vous maîtrisez totalement le réseau de consultation (cf. §11). Document d'exploitation ALCASAR – 2.9 6/38 1 – cliquez sur « ouvrir » 2 – cliquez sur « autoriser » 3 – cliquez sur « installer le certificat » 4 – choisissez le magasin « autorité de certification racine de confiance » Sélectionnez « Confirmer cette AC pour identifier des sites WEB ». Sélectionnez « Ouvrir avec Kleopatra ». d) Configuration réseau en mode statique (serveurs, imprimantes, point d'accès WIFI, etc.) : Pour les équipements configurés dans ce mode, les paramètres doivent être : • routeur par défaut uploads/Ingenierie_Lourd/ alcasar-2-9-exploitation-fr-pdf.pdf