Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Sécurité des Systèmes d’Information et de Communication EXPLOITATION Ce documen

Sécurité des Systèmes d’Information et de Communication EXPLOITATION Ce document présente les possibilités d’exploitation et d’administration d’ALCASAR à travers son centre de gestion graphique (ALCASAR Control Center – ACC) ou au moyen de lignes de commandes Linux. Projet : ALCASAR Auteur : Rexy et 3abtux avec l’aide de l’équipe « ALCASAR Team » Objet : Document d’exploitation Version : 3.1.1 Mots clés : portail captif, contrôle d’accès, imputabilité, traçabilité, authentification Date : Mai 2017 Document d’exploitation ALCASAR – 3.1.1 1/38 Table des matières 1.Introduction.........................................................................................................................................................3 2.Configuration réseau...........................................................................................................................................4 2.1.Paramètres d’ALCASAR..........................................................................................................................................5 2.2.Paramètres des équipements utilisateurs...................................................................................................................5 3.Gérer les utilisateurs et leurs équipements..........................................................................................................7 3.1.Activité sur le réseau.................................................................................................................................................7 3.2.Créer des groupes......................................................................................................................................................8 3.3.Éditer et supprimer un groupe...................................................................................................................................9 3.4.Créer des utilisateurs.................................................................................................................................................9 3.5.Chercher, éditer et supprimer un utilisateur..............................................................................................................9 3.6.Importer des utilisateurs..........................................................................................................................................11 3.7.Vider la base des utilisateurs...................................................................................................................................11 3.8.Les exceptions à l’authentification..........................................................................................................................11 3.9.Auto enregistrement par SMS.................................................................................................................................12 4.Filtrage...............................................................................................................................................................15 4.1.Liste noire et liste blanche.......................................................................................................................................15 4.2.Filtrage personnalisé de protocoles réseau..............................................................................................................16 5.Accès aux statistiques........................................................................................................................................17 5.1.Nombre de connexions par utilisateur et par jour....................................................................................................17 5.2.État des connexions des utilisateurs........................................................................................................................17 5.3.Usage journalier......................................................................................................................................................18 5.4.Trafic global et détaillé...........................................................................................................................................18 5.5.Rapport de sécurité.................................................................................................................................................20 6.Sauvegarde........................................................................................................................................................21 6.1.Archives - Journaux de traçabilité...........................................................................................................................21 6.2.Archives - Base des utilisateurs..............................................................................................................................21 6.3.Archives - Rapports d’activité hebdomadaire.........................................................................................................21 6.4.Journaux d’imputabilité..........................................................................................................................................21 7.Fonctions avancées............................................................................................................................................22 7.1.Gestion des comptes d’administration.....................................................................................................................22 7.2.Administration sécurisée à travers Internet.............................................................................................................22 7.3.Afficher votre logo..................................................................................................................................................25 7.4.Changement du certificat de sécurité......................................................................................................................25 7.5.Utilisation d’un serveur d’annuaire externe (LDAP ou A.D.).................................................................................26 7.6.Intégration dans une architecture complexe (A.D., DHCP externe, LDAP)............................................................27 7.7.Chiffrement des fichiers journaux...........................................................................................................................28 7.8.Gestion de plusieurs passerelles Internet (load balancing)......................................................................................29 7.9.Créer son PC dédié ALCASAR..............................................................................................................................29 7.10.Contournement du portail (By-pass).....................................................................................................................29 8.Arrêt, redémarrage, mises à jour et réinstallation..............................................................................................30 8.1.Arrêt et redémarrage du système.............................................................................................................................30 8.2.Mises à jour du système d’exploitation...................................................................................................................30 8.3.Mise à jour mineure d’ALCASAR..........................................................................................................................30 8.4.Mise à jour majeure ou réinstallation d’ALCASAR...............................................................................................30 9.Diagnostics........................................................................................................................................................31 9.1.Connectivité réseau.................................................................................................................................................31 9.2.Espace disque disponible........................................................................................................................................31 9.3.Services serveur ALCASAR...................................................................................................................................31 9.4.Problèmes déjà rencontrés.......................................................................................................................................32 9.5.Optimisation du serveur..........................................................................................................................................33 10.Sécurisation.....................................................................................................................................................34 10.1.Du serveur ALCASAR..........................................................................................................................................34 10.2.Du réseau de consultation.....................................................................................................................................34 11.Annexes...........................................................................................................................................................36 11.1.Commandes et fichiers utiles................................................................................................................................36 11.2.Exceptions d’authentification utiles......................................................................................................................37 11.3.Fiche « utilisateur »...............................................................................................................................................38 Document d’exploitation ALCASAR – 3.1.1 2/38 1. Introduction ALCASAR est un contrôleur d’accès au réseau (NAC : Network Access Controler) libre et gratuit. Ce document a pour objectif d’expliquer ses différentes possibilités d’exploitation et d’administration. Concernant les utilisateurs du réseau de consultation, la page d’interception suivante est affichée dès que leur navigateur tente de joindre un site Internet en HTTP. Cette page est présentée en 8 langues (anglais, espagnol, allemand, hollandais, français, portugais, arabe et chinois) en fonction de la configuration de leur navigateur. Tans qu’ils n’ont pas satisfait au processus d’authentification, aucune trame réseau provenant de leur équipement ne peut traverser ALCASAR. La page d’accueil du portail est consultable à partir de n’importe quel équipement situé sur le réseau de consultation. Elle est située à l’URL http://alcasar (ou http://alcasar.localdomain). Elle permet aux utilisateurs de se connecter, de se déconnecter, de changer leur mot de passe et d’intégrer le certificat de sécurité dans leur navigateur. Cette page permet aux administrateurs d’accéder au centre de gestion graphique « ACC » (ALCASAR Control Center) en cliquant sur la roue crantée située en bas à droite de la page (ou via le lien : https://alcasar.localdomain/acc). Ce centre de gestion est exploitable en deux langues (anglais et français) via une connexion chiffrée (HTTPS). Une authentification est requise au moyen d’un compte d’administration lié à l’un des trois profils suivants (cf. §7.1) : ● profil « admin » permettant d’accéder à toutes les fonctions d’administration du portail ; ● profil « manager » limité aux tâches de gestion des utilisateurs du réseau de consultation ; ● profil « backup » limité aux tâches de sauvegarde et d’archivage des fichiers journaux. Document d’exploitation ALCASAR – 3.1.1 3/38 Attention : Le détecteur d’intrusion intégré à ALCASAR interdira toute tentatives de nouvelle connexion pendant 3’, s’il a détecté 3 échecs consécutifs de connexion au centre de gestion. 2. Configuration réseau Les équipements de consultation peuvent être connectés sur le réseau de consultation au moyen de différentes technologies (filaire Ethernet, WiFi, CPL, etc.). Pour tous ces équipements, ALCASAR joue le rôle de serveur de noms de domaine (DNS), de serveur de temps (NTP) et de routeur par défaut (default gateway). ATTENTION : Sur le réseau de consultation, il ne doit y avoir aucun autre routeur. Vérifiez la configuration des points d’accès WIFI qui doivent être en mode « pont » ou « bridge ». Le plan d’adressage IP du réseau de consultation est défini lors de l’installation du portail. Exemple pour un réseau de consultation en classe C (proposé par défaut) • Adresse IP du réseau : 192.168.182.0/24 (masque de réseau : 255.255.255.0) ; • Nombre maximum d’équipements : 253 ; • Adresse IP de la carte réseau interne d’ALCASAR : 192.168.182.1/24 ; • Paramètres des équipements : ◦ adresses IP disponibles : de 192.168.182.3 à 192.168.182.254 (statiques ou dynamiques) ; ◦ adresses du serveur DNS : 192.168.182.1 (adresse IP de la carte réseau interne d’ALCASAR) ; ◦ suffixe DNS : localdomain (ce suffixe doit être renseigné pour les équipements en adressage statique) ; ◦ adresse du routeur par défaut (default gateway) : 192.168.182.1 (adresse IP de la carte réseau interne d’ALCASAR) ; ◦ masque de réseau : 255.255.255.0 Document d’exploitation ALCASAR – 3.1.1 4/38 Réseau de consultation Point d'accès WIFI (fonctions de routage et DHCP inhibées) Routeurs de sortie (équipements de FAI) ALCASAR Adaptateur CPL CPL Internet Commutateur ou Routeur « multi-WAN ». Cet équipement optionnel permet d'équilibrer la charge quand plusieurs connexions Internet sont utilisées simultanément. Répéteur WIFI Commutateur (switch) Carte réseau interne Carte réseau externe 2.1. Paramètres d’ALCASAR Le menu « système » + « réseau » vous permet de visualiser et de modifier les paramètres réseau d’ALCASAR. a) Configuration IP Si vous modifiez le plan d'adressage du réseau de consultation, vous devrez relancer tous les équipements connectés à ce réseau (dont le vôtre). Vous pouvez aussi modifier ces paramètres en mode console en éditant le fichier « /usr/local/etc/alcasar.conf » puis en lançant la commande « alcasar-conf.sh -apply ». b) Serveur DHCP Le serveur DHCP (Dynamic Host Control Protocol) fournit de manière dynamique les paramètres réseau aux équipements de consultation. Vous pouvez réserver des adresses IP pour vos équipements exigeant un adressage statique (serveurs, imprimantes, commutateurs, points d’accès WIFI, etc.). ALCASAR doit être le seul routeur et le serveur DHCP sur le réseau de consultation. Dans le cas contraire, assurez-vous de bien maîtriser l’architecture multi-serveurs DHCP (cf. §7.6 concernant la cohabitation avec un serveur A.D. ©). c) résolution locale de nom Comme ALCASAR est le serveur de nom (DNS) de votre réseau local, vous pouvez lui demander de résoudre les noms de certains de vos équipements réseau afin de pouvoir les joindre plus facilement. Dans l'exemple ci- dessus, le serveur situé à l'adresse « 192.168.182.5 » pourra être contacté directement pas son nom « my_nas ». 2.2. Paramètres des équipements utilisateurs a) Paramètres réseau Une fiche explicative à destination des utilisateurs est disponible à la fin de ce document. Il est conseillé de configurer le réseau des équipements utilisateur en mode dynamique (DHCP). Ces équipements ne nécessitent qu’un simple navigateur acceptant le langage « JavaScript ». Pour être intercepté facilement par ALCASAR, il est conseillé de configurer la page de démarrage par défaut de ce navigateur sur Document d’exploitation ALCASAR – 3.1.1 5/38 un site WEB non chiffré (HTTP). Les paramètres de proxy ne doivent pas être activés. b) Ajout d’un favoris / marque-page (bookmark) Dans les navigateurs, il peut être pratique d’ajouter un favori pointant vers la page d’accueil d’ALCASAR (http://alcasar. localdomain) afin de permettre aux utilisateurs de changer leur mot de passe, de se connecter/déconnecter ou d’intégrer le certificat de l’Autorité de Certification (cf. § suivant). c) Intégration du certificat de l’Autorité de Certification d’ALCASAR Certaines communications effectuées entre les équipements de consultation et ALCASAR sont chiffrées au moyen du protocole SSL (Secure Socket Layer). Ce chiffrement exploite deux certificats créés lors de l’installation : le certificat d’ALCASAR et le certificat d’une Autorité de Certification locale (A.C.). Par défaut, les navigateurs WEB situés sur le réseau de consultation ne connaissent pas cette autorité. Ils présentent donc les fenêtres d’alerte suivantes lorsqu’ils communiquent pour la première fois avec ALCASAR. « Mozilla-Firefox » « Microsoft-I.E. » « Google-chrome » Bien qu’il soit possible de poursuivre la navigation, il est intéressant d’installer le certificat de l’A.C. dans les navigateurs afin qu’ils ne présentent plus ces fenêtres d’alerte1. Pour cela, cliquez sur la zone « Installer le certificat racine » de la page d’accueil d’ALCASAR. Pour chaque navigateur, l’installation est la suivante : « Mozilla-Firefox » « Internet Explorer 8 » et « Safari » « Google chrome » : Chrome enregistre le certificat localement en tant que fichier (« certificat_alcasar_ca.crt »). Sélectionnez « préférences » dans le menu de configuration, puis « options avancées », puis « gérer les certificats » et enfin « importer » de l’onglet « Autorités ». 1 Vous pouvez éviter cette manipulation soit en achetant et en intégrant à ALCASAR un certificat de sécurité officiel et donc reconnu par l’ensemble des navigateurs (cf. §7.4), soit en désactivant le chiffrement des flux d’authentification au moyen du script « alcasar- https.sh {-on|-off} ». La uploads/Ingenierie_Lourd/ alcasar-3-1-1-exploitation-fr.pdf