Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

ACCUEIL CURSUS COURS ADMISSIONS CAMPUS DOCUMENTATION ANCIENS ENTREPRISES LIBRAI

ACCUEIL CURSUS COURS ADMISSIONS CAMPUS DOCUMENTATION ANCIENS ENTREPRISES LIBRAIRIES PUBLICATIONS PRESENTATION PRESENTATION FONCTIONNEMENT FONCTIONNEMENT SECURITE SECURITE Faille Faille Protocoles utilisés pour la sécurité Protocoles utilisés pour la sécurité Détection d'intrusions Détection d'intrusions DIFFERENTES SOLUTIONS DIFFERENTES SOLUTIONS LE PORTAIL CAPTIF Eric MARTIN PRESENTATION La dénomination exacte d'un hotspot est Wireless Internet hotspot. Il s'agit d'un lieu où la connexion vers un réseau Internet est possible via une connexion sans fil et grâce à un ensemble de technologies et de protocoles mis en œuvre. On parle également de borne ou de point d'accès Wi-fi. Les hotspots se sont rapidement développés à l'échelle mondiale permettant ainsi à des utilisateurs nomades disposant d'équipements adaptés (ordinateurs ou téléphones portables compatibles, PDA et autres) de se connecter à Internet de partout avec beaucoup de simplicité. Si ces connexions Internet sont ouvertes au grand public, cela ne veut pas dire qu'il n'existe aucune protection à l'accès et pour les utilisateurs. Nous savons bien qu'une fois connectés sur un même réseau, les utilisateurs deviennent potentiellement vulnérables. La première des protections qui a été mise en place au sein des hotspots est le portail captif. Le portail captif est un logiciel qui s'installe sur un hotspot et qui permet de gérer l'authentification des utilisateurs qui souhaitent se connecter à Internet. Il faut noter que tous les hotspots ne fonctionnent pas sur le principe d'un portail captif, mais pour des raisons de sécurité de plus en plus de hotspots souhaitent aujourd'hui disposer d'un portail captif. Le portail captif a réussi à s'imposer comme la solution pour les réseaux sans fil publics qu'ils soient gratuits ou payants. Mais il faut noter que le portail captif peut également fonctionner sur des réseaux filières. Il n'y pas d'exception entre réseau sans fil ou réseau filière, le but est de forcer l'utilisateur à s'identifier avant d'accéder au réseau Internet. L'identification se fait généralement via une page Internet et pour les hotspots payants elle peut nécessiter le paiement par carte bancaire. FONCTIONNEMENT L'utilisateur commence par se connecter à un réseau (en filière ou en Wi-fi), cette connexion se fait sans problème grâce à des protocoles spécifiques. Une fois connecté, l'utilisateur est dirigé automatiquement vers un serveur DHCP qui lui attribue une adresse IP. L'adresse IP est une sorte d'identité pour l'utilisateur, nécessaire également pour envoyer des informations (protocole TCP/IP). Mais l'utilisateur n'a toujours pas accès à Internet pour le moment mais il est connecté au réseau. Il va donc lancer une page Internet. Cette page va envoyer une requête de type Web grâce au protocole HTTP vers le serveur ; cette requête passe obligatoirement par la passerelle qui elle va renvoyer à l'utilisateur une page web d'authentification. Si l'utilisateur dispose des paramètres nécessaires (Login/password) il peut alors se connecter au réseau. Il va donc les saisir et transmettre ces informations sur le serveur. Il est important de noter que la page envoyée à l'utilisateur est cryptée grâce au protocole SSL qui permet de protéger les données qui sont transmises par l'utilisateur pour son authentification. Il va ensuite se produire un ensemble d'opérations au sein de différents serveurs. Dans un premier temps les données cryptées sont envoyées dans le serveur de base de données qui vérifie que cet utilisateur existe bel et bien. Si le serveur de base de données constate que l'utilisateur existe, selon le portail captif en œuvre, il envoie les informations vers le serveur d'authentification. Il s'agit du serveur radius. Les portails captifs cités dans ce dossier sont tous compatibles Radius et pour information nécessitent tous le fonctionnement d'apache, MySQL et PHP. Mais cela n'est pas le cas pour tous les portails captifs. Toutefois, après vérification sur le serveur d'authentification, des informations liées à l'adresse IP et l'adresse physique (adresse MAC) de l'utilisateur sont envoyées vers la passerelle afin d'ouvrir l'accès à l'utilisateur qui pourra par la suite se connecter au réseau Internet. Ces opérations se font en quelques secondes, elles sont quasiment invisibles pour l'utilisateur qui restera ainsi connecté un bon moment mais des requêtes ping lui seront régulièrement envoyées afin de vérifier qu'il est toujours connecté. Si le serveur constate un moment d'absence, l'utilisateur sera déconnecté et devra par la suite relancer la procédure d'authentification. Maintenant examinons à l'aide d'un schéma ce qui s'est techniquement passé : Sur ce schéma il apparaît de nouveaux éléments qui n'ont pas été mentionnés dans la partie théorique. Cela est tout à fait normal car nous estimons qu'il est plus facile de détailler un mécanisme à l'aide d'un schéma. En fait, il n'y a pas grand chose de nouveau par rapport à ce qui a été dit dans la partie théorique. Il y a le pare-feu et le LDAP au niveau du serveur d'authentification qui n'ont pas été cités. D'autres éléments comme les routeurs et autres qui rentrent en jeu n'ont également pas été cités sur ce schéma. Notre but est de synthétiser le fonctionnement d'un portail captif. Pour résumer le schéma, l'utilisateur essaye de se connecter, il passe par la passerelle qui va chercher la page d'authentification disponible dans le portail captif. La passerelle renvoie à l'utilisateur cette page d'authentification. Ensuite c'est la procédure qui s'enchaine jusqu'à l'accès Internet. Par contre nous souhaitons également parler du LDAP. Il s'agit du protocole mis en jeux au niveau du serveur d'authentification permettant d'interroger ou de modifier l'annuaire. Pour ce qui est du pare-feu, il s'agit simplement d'une protection mise en place lorsque l'accès à Internet est effectif. Mais nous tenons quand même à signaler que le pare-feu est géré par des iptables, ce qui permet de classer le trafic et d'identifier grâce au tables mangle et au filter un trafic pouvant correspondre à un couple adresse MAC/adresse IP. C'est une partie lié à la sécurité que nous souhaitions mettre en évidence. SECURITE Faille Malheureusement, un portail captif présente plusieurs inconvénients. Parmi les inconvénients on note : Il n'existe pas de système entièrement sécurisé avec un risque zéro. On ne peut pas se fier à la fiabilité des utilisateurs. Une fois connecté, l'usurpation d'identité reste possible car les adresses MAC et IP d'un utilisateur sont facilement imitables. Même si l'authentification se fait sur un protocole sécurisé, il se peut que la transmission des données se fasse en clair. Malgré toutes les mesures que l'on peut prendre le risque zéro n'existe pas et même si un portail captif permet de filtrer l'accès au hotspot, cela ne veut pas dire que l'on a réussi à se mettre à l'abri. Mais il faut dire qu'un portail captif a réussi à réduire considérablement les risques, d'attaque sur les réseaux publics. C'est un système qui permet de dissuader les utilisateurs malveillants. Son principal avantage est l'authentification obligatoire. Lorsqu'on se connecte à un hotspot via un portail captif, les informations demandées ont très souvent un rapport avec notre identité. Protocoles utilisés pour la sécurité Dans le cadre d'un portail captif, de nombreux protocoles sont mis en service. Les principaux sont les suivants : Le protocole HTTP et HTTPS : Il permet la communication entre le client et le serveur. Grâce au HTTPS, les communications peuvent être sécurisées. Il est utilisé lors de l'envoie des données sensibles comme les mots de passe. Protocole IP : Pour l'adressage des machines et l'acheminement des données Le protocole SSL : Utilisé spécialement dans la transmission des paramètres de connexion ou le paiement pour carte bancaire (pour les hotspots payants). Il permet de transporter les données chiffrées. Le protocole EAP : Spécialement utilisé pour le contrôle d'accès. Il permet d'établir l'accès à un réseau pour l'utilisateur. LDAP : Il permet d’interroger et de modifier les services de l'annuaire pour le serveur d'authentification. Détection d'intrusions La première sécurité qu'offre un portail captif est l'authentification, cela permet par la suite de mettre en place tout un service de sécurité car les utilisateurs sont tous identifiables. Cette partie liée aux services de sécurité nous permet de répondre sur les possibilités offertes par le logiciel libre. Il faut savoir que la plupart des portails captifs sont open source, mais le logiciel libre met également à la disposition des administrateurs réseaux une panoplie de logiciels liés à la gestion et la surveillance des réseaux. La liste des logiciels de surveillance n'est pas exhaustive, et l'utilisation de tel ou tel logiciel dépend des besoins de l'administrateur, chargé d'assurer la surveillance et le bon fonctionnement du serveur. Voici une liste non exhaustive : Sebek : outil de surveillance du système, permet de capturer et d'analyser le trafic, les sondes IDS, et analyser de logs. C'est un outil de surveillance en profondeur. Il donne une vision plus ou moins complète des activités suspicieuse. Hflow : outil de surveillance des flux réseau. Il permet d’identifier la quantité de données échangées. Tcpdump: outil qui permet d’enregistrer toutes les trames réseau. Netsat: outil permettant d’indiquer l’état des connexions réseaux en cours en indiquant les connexions TCP et UDP. Il permet également d'afficher toutes les connexions y compris celles des serveurs en attente de connexion. Il affiche aussi le nom de l’utilisateur utilisant un programme et le port utilisé par uploads/Ingenierie_Lourd/ le-portail-captif-supinfo-ecole-superieure-d-x27-informatique 2 .pdf