Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

LE PORTAIL CAPTIF LE PORTAIL CAPTIF Ameerudeen ABDUL AJEES – BTS SIO 2 Sommaire

LE PORTAIL CAPTIF LE PORTAIL CAPTIF Ameerudeen ABDUL AJEES – BTS SIO 2 Sommaire Introduction..........................................................................................................................................3 I. PRINCIPE DE FONCTIONNEMENT D’UN PORTAIL CAPTIF..................................................3 A. Les éléments constitutifs de l’architecture.................................................................................3 B. Le modèle Catch and Release....................................................................................................4 II. LE PORTAIL CAPTIF DE PFSENSE.............................................................................................5 A. Configuration de Pfsense...........................................................................................................5 B. Mise en place du portail captif de Pfsense.................................................................................9 Conclusion..........................................................................................................................................12 2 sur 12 Introduction Les portails captifs sont des pare-feux dont le but est d'intercepter les usagers d'un réseau afin de leur présenter une page web spéciale (par exemple : avertissement, charte d'utilisation, demande d'authentification, etc.) avant de les laisser accéder à Internet. Ils sont utilisés pour assurer la traçabilité des connexions et/ou limiter l'utilisation abusive des moyens d'accès. C’est un élément matériel ou logiciel qui permet de définir le temps de connexion mais également les services auxquels l’utilisateur peut accéder. Il est utilisable pour tout type de réseau, que ce soit filaire ou sans fil. Néanmoins, il est principalement utilisé pour les réseaux WiFi pour mettre à disposition d’invités, de clients ou encore de visiteur, l’accès au net de façon contrôlée. On peut se demander comment fonctionne et comment mettre en place un portail captif. Pour répondre à cela, nous allons, tout d’abord étudier le principe de fonctionnement des portails captifs puis voir comment mettre en place un portail captif via Pfsense. I. PRINCIPE DE FONCTIONNEMENT D’UN PORTAIL CAPTIF A. Les éléments constitutifs de l’architecture Les portails captifs reposent sur les identités suivantes : • les clients : ils utilisent un navigateur Web pour accéder au portail, • la passerelle/pare-feu : passerelle entre plusieurs réseaux - elle joue en même temps le rôle de pare-feu, • le serveur d’authentification (+Web) : portail Web d’authentification et gestion des fonctionnalités d’authentification des utilisateurs et de leurs droits, • un service DHCP, DNS : pour l'allocation dynamique des adresses IP aux clients et la fourniture d'un service DNS d'infrastructure (le DNS peut être facultatif) • et éventuellement un point d'accès WiFi (dans le cadre de réseaux sans fils). Le portail captif, bien que souvent associé aux réseaux WiFi, peut tout à fait s'adapter aux réseaux locaux filaires. Néanmoins, les problèmes de sécurité auxquels sont exposés les réseaux WiFi justifient l'importance et l’orientation de telles solutions vers ce domaine. 3 sur 12 Voici une représentation de l’architecture : B. Le modèle Catch and Release Le portail captif fonctionne sur le modèle Catch and Release. En effet, lorsqu'un utilisateur souhaite avoir accès à une ressource, il est aussitôt « capté » et redirigé vers le serveur Web d'authentification qui ne le « libérera » qu'à partir du moment où son authentification se sera déroulée avec succès. Le principe du portail captif est décrit ci après. Les numéros entre parenthèses font référence aux numéros du schéma: 4 sur 12 Étape 1: Le client se connecte au réseau. Étape 2: Il reçoit les paramètres de connexion par le DHCP. A ce stade, il n’a aucun droit car la passerelle/pare-feu bloque l’accès réseau, sauf le port 80 qui est redirigé vers le portail Web. Étape 3: Le client lance son navigateur Web, saisit et valide son URL. Étape 4: Le serveur Web de l’architecture lui demande alors: • d'approuver les conditions d'utilisation du réseau si le portail est en mode Open (il n'y a pas de processus d'authentification dans ce cas). Dès l'acceptation des conditions d'utilisation, l'utilisateur a accès aux ressources mises à sa disposition, • de s’authentifier pour avoir accès à un réseau local sécurisé et/ou au réseau Internet par exemple. Étape 5: L'utilisateur doit s'authentifier, selon un quelconque moyen : nom d'utilisateur/mot de passe… En cas de refus, le client verra ses droits conservés, sans possibilité aucune d’accès aux ressources réseau. Étape 6: Si le client s’identifie correctement, la passerelle/pare-feu modifie alors dynamiquement ses paramètres. Étape 7: La passerelle définit les paramètres de qualité (temps de connexion, services…) relatifs à l’utilisateur authentifié. Sa connexion est maintenue tant qu’il ne ferme pas une fenêtre du navigateur qui maintient sa connexion en arrière-plan. On parle de portail « intelligent » lorsque celui-ci enregistre l'URL saisie par l'utilisateur lors de l'ouverture de son navigateur Web pour le renvoyer directement à cette URL dès que son authentification s'est déroulée avec succès et que ses droits le lui permettent. II. LE PORTAIL CAPTIF DE PFSENSE A. Configuration de Pfsense Pfsense est un logiciel gratuit, open source pour transformer un PC en pare-feu. La base du système est FreeBSD. Il intègre beaucoup de fonctionnalités dont celle qui nous intéresse, le portail captif. 5 sur 12 Considérons cette architecture comme exemple : Étape 0 : Avant la configuration, il faut, tout d’abord, installer Pfsense sur une machine qui possède au minimum deux cartes réseaux : une pour le WAN et une autre pour le LAN. On grave Pfsense sur un CD puis on boote dessus. L’installation va se lancer et un premier menu va apparaître : il suffit d’appuyer sur la touche « 1 » pour passer sur Boot pfSense [default]. 6 sur 12 Étape 2 : Puis, la fenêtre suivante va s’afficher. On attribue les deux interfaces manuellement au WAN et au LAN. Étape 3 : A la suite de cela, la configuration se met en place jusqu'à un nouveau menu. On choisit l’option 2 pour poursuivre notre installation. 7 sur 12 Étape 4 : Nous arrivons sur la fenêtre suivante. On entre l’adresse IP correspondant à notre LAN. Ceci va nous simplifier la configuration de PfSense car nous pourrons accéder à une interface Web pour la suite. Nous allons entrer aussi une plage d’adresse pour les machines clientes. Pfsense est en marche ! Étape 5 : On connecte une machine sur la carte réseau de Pfsense (côté LAN, tout est bloqué côté WAN pa défaut). Il ne faut pas oublier de changer l’IP de notre machine. On ouvre ensuite notre navigateur Web, puis on entre : http://192.168.1.1. On entre nos identifiants : par défaut, le login est admin et le mot de passe est pfsense). L’interface Web reprend les configurations que nous avons rentré en ligne de commande. 8 sur 12 B. Mise en place du portail captif de Pfsense Étape 1 : Pfsense est correctement configuré. Pour le moment, il sert uniquement de pare-feu et de routeur. Nous allons maintenant activer l'écoute des requêtes sur l'interface LAN et obliger les utilisateurs à s'authentifier pour traverser le pare-feu. Pour cela, allez dans la section Captive portal. Cochez la case Enable captive portal, puis choisissez l'interface sur laquelle le portail captif va écouter (LAN dans notre cas). Dans les 2 options suivantes, nous allons définir les temps à partir desquelles les clients seront déconnectés. Idle Timeout définie le temps à partir duquel un client inactif sera automatiquement déconnecté. Hard Timeout définie le temps à partir duquel un client sera déconnecté quelque soit sont état. Ensuite, nous pouvons activer ou pas un popup qui va servir au client de se déconnecter. Il faut éviter de mettre cette option, car de nombreux utilisateurs utilisent des anti-popup et ne verront donc pas ce message. Il est possible ensuite de rediriger un client authentifié vers une URL spécifique. Le paramètre suivant Concurrent user logins permet d'éviter les redondances de connexions. En effet, l'utilisateur pourra se connecter sur une seule machine à la fois. Cela va donc limiter les usurpations d'identité pour se connecter. Enfin, il est possible de filtrer les clients par adresses MAC. Ensuite vient la méthode d'authentification. 3 possibilités s'offre à nous : • Sans authentification, les clients sont libres • Via un fichier local • Via un serveur RADIUS* 9 sur 12 *RADIUS :(Remote Authentication Dial-In User Service) est un protocole qui permet de centraliser des données d'authentification. Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base d'identification (base de données) et un client RADIUS, appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. Étape 2 : Nous allons prendre le cas du serveur RADIUS. On rentre l’adresse IP du serveur RADIUS, le port qui est par défaut 1812 et le secret partagé (un code qui sera partagé par les clients RADIUS et le serveur RADIUS). Étape 3 : Enfin, on peut importer une page web qui servira de page d'accueil, ainsi qu'une autre page en cas d'échec d'authentification et une page pour la déconnexion. S’il y a des images insérées sur ces pages web, aller dans l'onglet File Manager et télécharger ces images. 10 sur 12 Le portail captif est en marche. Voici des exemples de page d’accueil de portails captifs qu’on peut mettre en place. Exemple du portail captif (avec authentification) de l’Université Pierre et Marie Curie : Exemple du portail captif (avec validation de CGU) de l’Aéroport de Paris : 11 sur 12 Conclusion On peut en conclure que le portail captif est adapté à des accès réseaux pour de nombreuses personnes, généralement de passage. Mais le portail captif sans outils de sécurité est soumis à certaines menaces comme l’usurpation de DHCP ou l’usurpation de la passerelle. C’est pour cela qu’il faut mettre en uploads/Ingenierie_Lourd/ portail-captif-explication-detaillee.pdf