SITA MAROC

1








Sur le thme :





SITA MAROC
Installation et mis en service dun
firewall et Portail Captif
En cadrs par :
Mr. ETTIJANI
Raliss par :
Amine JEMJAMI
Essalek SKHOUNE
Filire 2 TRI GE
2013/2014



SITA MAROC
2







Remerciement ................................................................................................... 4
Ddicace .5
Introduction ........................................................................................................ 6
CHAPITE 1 : Prsentation de lentreprise ............................................................................. 7
1. Historique de la socit : ................................................................................................ 8
1.1) Prsentation de lentreprise : .................................................................................... 8
1.2) Prsentation du lieu de stage : .................................................................................. 9

CHAPITRE 2 : Cahier des charges .................................................................................... 111
3. Etude et analyse dexistante.12
4. Cahier des charges ...................................................................................................... 123
4.1) Avant propos : Pourquoi un portail captif ? ......................................................... 133
4.2) Fonction type dun portail captif :........................................................................ 134
4.3) Rsum de la proposition ..................................................................................... 144
CHAPITRE 3 : Etude des Solutions .................................................................................. 155
Planning16
5. Etude des solution ...................................................................................................... 167
5.1) Tableau comparatif et analyse.............................................................................. 167
5.2) Analyse rapide : ................................................................................................... 188
5.3) Orientation du choix ............................................................................................ 188
CHAPITRE 4 : Mise en place de la maquette PfSense ...................................................... 199
6. Mise en place de la maquette PfSense ......................................................................... 20
6.1) Architecture gnrale ............................................................................................. 21
6.2) Installation de PfSense ........................................................................................... 21
6.3) Configuration de PfSense..................................................................................... 255
6.3.1- Les principaux paramtres ............................................................................... 255
6.4) Le portail captif ...................................................................................................... 30
6.4.1- Paramtres gnraux .......................................................................................... 30
6.4.2- Test en local ....................................................................................................... 31
Sommaire



SITA MAROC
3
6.5) Lauthentification ................................................................................................... 37
6.6) RADIUS sous Windows Server 2003 Enterprise Edition ...................................... 39
CHAPITRE 5: Le test et mise en service portail captive ................................................. 26
CONCLUSION ................................................................................................. 49
Webographie ................................................................................................... 50




SITA MAROC
4
Remerciements


Avant de commencer ce rapport Nous remercions nos parents qui
nous ont soutenus tout au long de nos tudes.

Nous tenons galement remercier Mr. ETTIJANI qui n'a pas hsit
nous fournir les informations ncessaires.

De mme nous tenons exprimer notre gratitude et notre
reconnaissance nos formateurs l'institut spcialis de technologie
Appliqu ISTA NTIC SYBA Marrakech pour leurs conseils et les
connaissances qui ont partags avec nous, Ainsi que tous les
stagiaires de 2TRI groupe E.




SITA MAROC
5
Ddicace :
















A notre raison de vivre, desprer,
A notre source de courage, ceux quon a de plus chres,
Nos petites familles,
Pour leurs sacrifices sans limite,
A nos enseignants
Pour leurs patience, leurs soutien
Et leurs encouragements
Et nos amis
Pour leur tmoigner une amiti et fidlit indfinies



SITA MAROC
6
Introduction





Le stage est la priode la plus importante pour accder dans le monde
du travail pour les stagiaires, il constitue le prolongement de notre
formation dans ISTA NTIC de Marrakech, cette priode nous permet
de toucher le ct pratique afin demployer toutes nos connaissances
et notre savoir-faire durant notre formation. En raison, ISTA NTIC de
Marrakech prvoie la fin de la formation un stage dun mois et 10
jours termin par un rapport de stage.
Pour cela, nous avons effectu un stage de fin de formation dans la
socit international de tlcommunication aronautique (SITA
Maroc) en vue damliorer et de frotter nos comptences
intellectuelles et techniques acquises durant la formation LISTA.
Dans notre rapport nous allons traiter deux parties; la premire
contient une prsentation gnrale de lentreprise, son organigramme
et les travaux que nous avons effectus, et la deuxime contient le
thme Mise en uvre d'un Portail Captif sur un rseau WIFI Nous
esprons que cette faon de prsentation donnera une vue gnrale
sur notre exprience.



SITA MAROC
7


















































Dans le cadre de notre stage au sein de la socit international de
tlcommunication aronautique SITA on a russie la mise en place
dun firewall suite un stage dun mois et 10 jours.
Ce travail a t une opportunit qui nous a permet dexercer et
dappliquer les acquis soulevs de notre formation et de nous donner
une approche pratique sur le domaine professionnel.
Notre projet vise rpondre aux besoins informatiques et remdier
aux problmes dexploitation rseau connus par la socit afin de
garantir la scurit et la fiabilit du systme et maintenir sa qualit, sa
fiabilit et sa disponibilit.
La 1re partie de notre projet prsente un aperu sur la socit SITA
et une tude pralable de son existant afin de dtecter les dfaillances
qui va nous permettre de dfinir les problmatiques et les besoins.
Sur la 2me partie, on a prsent une solution permettant de remdier
au besoin soulev sur la partie prcdente.
La dernire partie prsente et dcrit la mise en place de la solution
propose.



SITA MAROC
8

































CHAPITE 1 :
Prsentation de
lentreprise



SITA MAROC
9
1. Historique de la socit :


1.1. Prsentation de lentreprise :

La Socit internationale de tlcommunication aronautique (SITA) est une
organisation internationale qui fournit des services de communications et des services
informatiques l'industrie aronautique.

o SITA possde le plus vaste rseau priv international qui couvre 220 pays et
territoires.

o SITA est une cooprative de droit belge sans profit.

o SITA emploie environ 4000 personnes dans le monde, de 140 nationalits
diffrentes et parlant 70 langues.

Fonde en 1949 par 11 compagnies ariennes, le premier but de SITA tait de mettre
en commun les quipements de communication existants des compagnies ariennes de
sorte que tous les utilisateurs puissent tirer profit dune infrastructure partage.
Une des premires tches de SITA fut de fournir des communications directes entre les
aroports europens principaux, faisant de SITA un pionnier dans les
tlcommunications internationales. Les services de communication taient initialement
seulement accessibles aux membres de IATA (LAssociation internationale du transport
arien (ou IATA, en anglais International Air Transport Association ou IATA) est une
organisation commerciale internationale de socits de transport arien. Ces entreprises
sont spcialement autorises consulter les prix entre elles par lintermdiaire de cet
organisme), mais maintenant SITA sert plus de 640 membres dont 500 compagnies
ariennes, la plupart des centres de rservations de voyages, les aroports, compagnies
ariennes, fret et des organisations gouvernementales partout dans le monde.

1.2. Prsentation du lieu de stage :

SITA est une organisation internationale comme on a fait signe dans lhistorique ci-
dessus et heureusement il y a une branche dans laroport international de Marrakech
Menara et ce dernier est certifi par lISO 2008-9001 pour a bonne qualit de ces
services, alors nous nous entrainons ici au sein de lorganisation SITA pour raliser
notre projet de fin de formation, qui permet de contrler laccs au rseau. Nous avons
lhonneur de raliser notre stage pour la fin de notre formation mais pas la fin de notre
carrire dans le domaine parce que cest une dmarche vers un futur dingnierie afin



SITA MAROC
10
de choisir notre chemin unique pour les ralisations de nos objectifs. Nous nous
souviendrons toujours de ce stage parce que nous avons appris beaucoup de chose que
a soit techniquement ou thoriquement dans le domaine dinformatique et avons
corrig tous nos savoirs laide de notre encadrant en stage.







SITA MAROC
11

CHAPITRE 2 :
Cahier des charges



SITA MAROC
12

2 Etude et analyse de lexistant : infrastructure
physique et logique

Avant la proposition des solutions, la planification des dates et les charges des
travaux raliser, il tait important danalyser et de comprendre
linfrastructure existante et les outils de travail actuel.


Linfrastructure existante:






SITA MAROC
13

3 Cahier des charges
2-1) Avant-propos : Pourquoi un portail captif ?

La problmatique rencontre dans les Entreprise est la scurisation du point daccs
sans fils ainsi que la difficult pour ladministrateur grer tous les utilisateurs qui
souhaite sy connecter.
La mise en place dun portail captif permet ladministrateur de grer lauthentification
et le temps de chaque utilisateur,
De plus, grce au portail captif, le wifi naura plus de clefs de protection, mais les
utilisateurs seront redirigs vers une page web dauthentification
La technique Portail captif force un client HTTP sur un rseau afficher une page web
spciale (le plus souvent dans un but d'authentification) avant d'accder Internet
normalement. Cette vrification est sommaire et les mthodes de contournement
nombreuses. Cependant, cette solution est utile puisqu'elle permet de limiter les
utilisations abusives des moyens d'accs. C'est par exemple le cas des points d'accs Wi-
Fi qui sont souvent protgs par ce genre de solution.
En pratique, ds quun terminal (PC, tablette, Smartphone) est connect au rseau
radio-WiFi, louverture dun navigateur ouvre une page WEB qui demande la saisie
dun code unique, un nom dutilisateur et un mot de passe inscrits sur un ticket.
Une fois ces informations saisies, laccs lInternet est alors libr pour une dure et
une validit paramtrable. Et lorsque la dure prvue est consomme (en une ou
plusieurs fois), lutilisateur est de nouveau bloqu et il doit se procurer un nouveau
ticket pour se reconnecter.

Fonction dun portail captif :

Client : http://www.google.com en passant par le portail

Portail : redirection vers la page dauthentification locale

Client : Login + Mot de passe

SI OK : client : http://www.google.com

Remarque : Maintenant il faut que cette redirection fonctionne avec tous les protocoles applicatifs.



SITA MAROC
14


Interprtation : Quoi que dsire faire le client, sil veut naviguer sur le WEB il devra dabord
passer par le portail captif afin de sauthentifier.
La diffrence entre un simple Firewall et un portail captif rside dans le fait que le portail captif
ne refuse pas une connexion, il la redirige vers une page dauthentification.

1.1) Rsum de la proposition

Rsum de la proposition :
Titre : Mise en uvre dun portail captif pour le filtrage et lauthentification Wifi
Rsum du travail attendu :
Lobjectif est de mettre en uvre un filtrage IPTABLES dynamique en assurant lauthentification et la
gestion de services partir de client Wifi.
















SITA MAROC
15




















CHAPITRE 3 :
Etude des Solutions



SITA MAROC
16
2. Planning :

Afin de dtecter les problmatiques et proposer les solutions utiles
permettant ses rsolutions, on a consomms les charges mentionnes sur le
diagramme ci-aprs :

Table Diagramme :
3. Etude des solutions :
3.1) Tableau comparatif et analyse

Nous avons rcupr une liste des principaux portails captifs libres et comparer ces derniers.



SITA MAROC
17

Tableau de comparatif les portails captif libre :







SITA MAROC
18
3.2) Analyse rapide :


Tableau danalyse rapide :

3.3) Orientation du choix

Au vu de ce comparatif PfSense apparat comme le meilleur compromis entre portail captif

En effet cest cette solution qui rpond le mieux aux critres de
Disponibilit (Base Free BSD, load balancing, etc..)
Confidentialit (HTTPS Web GUI, HTTPS authentification, IPSEC, PPTP, etc...)
Audibilit (Statistique trs nombreuses avec ntop, etc)
Mise jour (systme upgradable sans rinstallation, packages tlchargeables directement
depuis le Web GUI, etc).
Simplicit dadministration, dinstallation
Autonomie complte





SITA MAROC
19

CHAPITRE 4 : Mise
en place de la
maquette PfSense



SITA MAROC
20
4. Mise en place de la maquette PfSense

4.1) Architecture gnrale

Matriel :
Un PC avec 500Mo de disque dur, 64Mo de RAM (128 Mo conseill), PII 266 MHz minimum,
au moins 2 cartes rseaux (on peut galement en mettre plus si l'on dsir crer des DMZ).
Un serveur Microsoft 2003 entreprise Edition
Un Point daccs Wifi
Un client avec carte WIFI
Un autre PC pour ladministration
Architecture cible :



Architecture Proposer :





SITA MAROC
21



4.2) Installation de PfSense

Aprs avoir rcuprer votre matriel linstallation peut commencer. A noter quil est impossible d'installer
Pfsense sur un disque contenant une partition Fat16/32, NTFS ou autres. Le disque dur devra tre
format pendant linstallation.
Nous avons effectu l'installation dcrite ci-dessous sur un logiciel appel VMware. Ce logiciel nous
permet de crer des ordinateurs virtuels et de les relier par rseaux virtuels.
Voici donc la configuration de notre "laboratoire" sous VMware :



Passons maintenant l'installation de PfSense.
Il existe 2 faons de faire marcher le portail captif :
Sur le disque dur
Via un Live CD
Cette dernire solution est trs rapide et efficace. Le chargement se fait automatiquement ainsi que sa
configuration. Mais elle possde tout de mme des inconvnients :
Chargement long
Configuration stocke sur disquette (les disquettes sont peu fiables)
Impossibilit d'ajouter des "packages" (logiciels), on ne peut pas toucher la structure du CD.
Nous avons donc utilis le Live CD pour comparer les diffrents portails captifs, mais pour une
implantation dans un rseau, il vaut mieux l'installer sur un disque dur.

Installation sur le disque dur :
Tout d'abord, vrifier que votre ordinateur possde les caractristiques requises, puis insrer le cd au
dmarrage de votre machine.



SITA MAROC
22


Vous allez ensuite avoir l'cran de dmarrage de FreeBSD. Vous avez plusieurs choix possibles. Vous
allez ici mettre l'option 1 (dfaut) ou bien attendre que le compte rebours termine.


Ensuite vient la configuration des interfaces rseaux. Vous remarquerez ci-dessous que FreeBSD
dtecte le nombre de carte rseau, et y attribue des noms (Valid interface are : le0 et le1 dans notre
cas).

Choisissez donc quel interface sera le LAN et l'autre le WAN (ici LAN: le1, WAN: le0).



SITA MAROC
23
Si vous voulez crer des DMZ, il faut les ajouter dans Optionnel interface juste aprs. Sinon ne mettez
rien et appuyer sur entrer.


Nous avons ensuite un rcapitulatif de la configuration et devons la valider en tapant "y".

FreeBSD charge ensuite et nous entrons dans le menu.
Nous allons donc passer l'installation sur le disque dur en tapant le choix "99".

Note: Nous possdons ici la version Beta3 de Pfsense, la fin du projet nous avons fait la mise jour
vers la Beta4. Cependant, l'installation reste exactement la mme.



SITA MAROC
24

L'installation qui va suivre se fait en acceptant toutes les options par dfaut. Il suffit d'accepter toutes les
demandes (formatage si ncessaire et cration de la partition). Cependant, vous trouverez en annexe le
dtail tape par tape en cas de problme.






SITA MAROC
25


Une fois l'installation termine, retirer le cd et redmarrer la machine.
Si tout c'est bien droul, vous devriez atteindre nouveau le menu de Pfsense sans le cd.


Pfsense est en marche. Vous pouvez le configurer ici mme via le Shell (ligne de commande) ou bien
via une interface graphique (http) en connectant un PC sur la carte associ au LAN.

4.3) Configuration de PfSense

6.3.1- Les principaux paramtres

Nous allons maintenant configurer PfSense.
Avant tout, nous vous conseillons de changer l'IP sur la machine de PfSense directement, pour plus de
simplicit par la suite. Pour cela, dans le menu de PfSense, tapez le choix 2 Set LAN IP adresse.
Entrer l'adresse IP correspondant votre LAN.




SITA MAROC
26


Nous allons pouvoir maintenant configurer Pfsense via l'interface Web.
Connectez une machine sur la carte rseau de Pfsense (cot LAN, tout est bloqu cot WAN par
dfaut).
N'oubliez pas de changer l'IP de votre machine.
Ouvrez ensuite votre navigateur Web, puis entrez http://ip_pfsense.
Dans notre cas, nous ferons http://10.10.10.1/
Entrez ensuite le login (par dfaut admin, mot de passe : pfsense).
Allez ensuite dans System, puis General Setup.



SITA MAROC
27



Ici se trouve la configuration gnrale de Pfsense. Entrez ici le nom de la machine, le domaine et l'IP du
DNS. Attention, il vous faut dcocher l'option se trouvant dessous (Allow DNS server list to be
overridden by DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les DNS des
clients n'est plus Pfsense, mais un DNS du WAN inaccessible par le LAN.
Ensuite, modifiez le nom et le mot de passe du compte permettant de se connecter sur Pfsense.
Vous pouvez ensuite activer l'accs ces pages, via une connexion scurise SSL. Pour cela, activer
l'HTTPS. Entrez le port 443 dans webGui port (correspondant SSL).
Vous pouvez ensuite modifier le serveur NTP et le fuseau horaire pour rgler votre horloge.
Enfin, nous vous conseillons de changer le thme d'affichage de Pfsense. En effet, le thme par dfaut
(metallic), comporte quelques bugs (problme d'affichage, lien disparaissant). Mettez donc le thme
"Pfsense".
Vous devriez donc avoir une interface comme ceci :




SITA MAROC
28


Ensuite, toujours dans "system", allez dans Advanced. Ici, nous pouvons activer la connexion SSH afin
de l'administrer distance sans passer par l'interface graphique (en effet, pour une configuration
accrus, il vaut mieux passer par le Shell).



Nous allons maintenant configurer les interfaces LAN et WAN en dtail.
Pour cela, allez dans Interface, puis WAN pour commencer. Entrez ici l'adresse IP de la carte rseau
cot WAN, ainsi que l'adresse IP de la passerelle.




SITA MAROC
29

Configurer ensuite la carte LAN (elle doit tre normalement bien configur, mais vous pouvez faire des
modifications par la suite ici) :





Il ne reste plus qu' configurer le serveur DHCP pour le LAN, afin de simplifier la connexion des clients.
Pour cela, allez dans la section DHCP server.



SITA MAROC
30
Cochez la case Enable DHCP server on LAN interface. Entrez ensuite la plage d'adresse IP qui sera
attribue aux clients. Dans notre cas, notre plage d'IP sera 10.10.10.10 10.10.10.50
Il faut par la suite entrer l'IP du serveur DNS qui sera attribue aux clients. Ici, il vous faut entrer l'IP du
portail captif. En effet, nous avons dfinie plus haut que Pfsense fera lui-mme les requtes DNS.
Pour finir, entrez l'adresse de la passerelle pour les clients. Celle-ci sera le portail captif : 10.10.10.1
Voici donc ce que vous devriez avoir :



Voil, Pfsense est correctement configur. Pour le moment il sert uniquement de Firewall et de routeur.
Nous allons maintenant voir comment activer l'coute des requtes sur l'interface LAN et obliger les
utilisateurs s'authentifier pour traverser le Firewall.

4.4) Le portail captif

6.4.1- Paramtres gnraux

Nous allons dsormais voir la procdure afin de mettre en place le portail captif. Pour cela, allez dans la
section Captive portail.
Cochez la case Enable captive portail, puis choisissez l'interface sur laquelle le portail captif va couter
(LAN dans notre cas).
Dans les 2 options suivantes, nous allons dfinir les temps partir desquelles les clients seront
dconnects. Idle Timeout dfinie le temps partir duquel un client inactif sera automatiquement
dconnect. Hard Timeout dfinie le temps partir duquel un client sera dconnect quel que soit son
tat.
Nous avons choisi de mettre 1h pour l'inactivit, et 12h pour les dconnexions brutales.



SITA MAROC
31
Ensuite, nous pouvons activer ou pas un popup qui va servir au client de se dconnecter. Nous avons
prfr ne pas mettre cette option, car de nombreux utilisateurs utilisent des anti-popup et donc ne
verront pas ce message.
Il est possible ensuite de rediriger un client authentifi vers une URL spcifique. Nous avons prfr de
ne rien mettre afin de laisser la libert au client de grer leur page de dmarrage.
Le paramtre suivant Concurrent user logins, permet d'viter les redondances de connexions. En effet,
l'utilisateur pourra se connecter sur une seule machine la fois. Cela va donc limiter les usurpations
d'identit pour se connecter.

Enfin il est possible de filtrer les clients par adresse MAC.




Ensuite vient la mthode d'authentification.
3 possibilits s'offre nous :
Sans authentification, les clients sont libres
Via un fichier local
Via un serveur RADIUS

6.4.2)-Test en local :

On va commenais le TEST par Via un fichier local :




SITA MAROC
32
Premier tape : Activation portail captif


Puis En doit Slectionner dans les choix Local user manager


Puis sauvegarder la configuration

Dans notre Cas On a crs nous propos pages pour le test (une page Authentification/ une page
pour erreur authentification/ et autre page pour montrer si authentification et russie).

2eme tapes : Cration dutilisateur



SITA MAROC
33


3eme Etapes : Le Test

Sur une autre machine en va Taper une adresse web par exemple http://google.com/

Voil il nous redirige ver la page dauthentification



SITA MAROC
34

Dans le premier Cas en va tester avec un login et mot de passe incorrecte :

Voil se quel donne

Maintenant avec Login et mot de passe quon vient de cres :

Comme en remarque notre authentification et russie :

En peut voir lutilisateur connecter sur : STATUS portail captif



Pour des raisons de scurits, nous avons mis en place un serveur RADIUS. Pour plus de dtail sur
l'installation de Radius, reportez-vous la partie consacre la scurisation du portail.




SITA MAROC
35


Il est possible par la suite de scuriser l'accs au portail captif. Cette mise en place est dcrite dans la
partie consacre la scurisation du portail.
Enfin, vous pouvez importer une page web qui servira de page d'accueil, ainsi qu'une autre page en cas
d'chec d'authentification.



SITA MAROC
36


Si vous avez des images insrer sur vos pages web, allez dans l'onglet File Manager et tlcharger vos
images.

Les autres onglets ne sont pas utiliss dans notre cas, mais pour information, l'onglet Pass-through
MAC sert dfinir les adresses MAC autoris traverser Pfsense. Allowed IP address sert dfinir les
adresses IP autorises sortir. Et enfin l'onglet Users sert dans le cas o l'on a choisi l'option Local
Manager vu plus haut, et est donc utilis pour stocker les comptes valides.
Voil, le portail captif est en marche. Cependant, cette configuration comporte quelques failles, dans le
sens l'accs aux pages web n'est pas crypt. Les donnes concernant le login passe donc en clair et
peut tre visible de tous. Nous allons voir maintenant comment scuriser cet accs.




SITA MAROC
37
4.5) Lauthentification

Lauthentification est un point nvralgique de PfSense puisque cette dernire dfinit lautorisation ou
non daccs vers lextrieur dun utilisateur, une sorte de portail mcanique ferm dont il faut avoir la cl
pour louvrir

Choix du protocole dauthentification :

RADIUS (Remote Authentification Dial-In User Service) est un protocole client-serveur permettant de
centraliser des donnes d'authentification. Cest le standard utilis aujourdhui car trs mallable et trs
scuris.
PfSense intgre par dfaut un serveur radius libre (FreeRadius) coupl une base locale. Nous avons
fait le test et il fonctionne bien

Cependant nous avons abandonn cette solution pour le raison de :

Le serveur FreeRadius embarqu ne dispose pas de toutes les fonctionnalits que propose un
Radius (spcification du media utilis, groupes, etc.)

Ajout de lauthentification Radius dIAS Microsoft Server2003 PfSense

2 parties considrer :

Configuration de lauthentification PfSense
Configuration de RADIUS sur Server 2003

a) Configuration de lauthentification sous PfSense

System | General Setup



SITA MAROC
38

Services | Captive portal






SITA MAROC
39
Il y ensuite la possibilit de crer des statistiques pour Radius : lAccounting



4.6) RADIUS sous Windows Server 2003 Enterprise Edition

Ne pas oublier de joindre le domaine Pfsense.stage.com sur le serveur Radius. Si ce nest pas
le cas une rinstallation dActive Directory est ncessaire. Le fait de joindre le Radius dans le
domaine vite lutilisateur lors son authentification de faire user@pfsense.stage.com mais
seulement user
Ne pas oublier que le serveur Radius sera dsormais le DNS de PfSense
Une configuration par dfaut comme celle-ci utilise les ports
1812 pour lauthentification
1813 pour laccounting (stats pour Radius )

Installation du serveur radius

Pour installer le service Radius appel aussi Service dauthentification Internet, chez Microsoft, il faut
aller dans :
Dmarrer | Panneau de configuration | Ajout/Suppression de programmes | Ajouter ou
supprimer des composants Windows | Services de mises en rseau | Service dauthentification
Internet.



Cliquer sur OK, linstallation seffectue en slectionnant les paramtres par dfaut.

Crer un compte utilisateur dans Active Directory
Pour crer un compte utilisateur dans lActive Directory, cliquer sur Dmarrer | Outils
Dadministration | Utilisateurs et ordinateurs Active Directory
Dans le dossier Users, cliquer avec le bouton droit de la souris sur Nouveau | Utilisateur
Crer lutilisateur nomm Mary



SITA MAROC
40




Crer un groupe de scurit global dans Active Directory
Dans le dossier Users, cliquer avec le bouton droit de la souris sur Nouveau | Groupe

Nous allons crer un groupe Groupe-wifi puis ajouter lutilisateur ce groupe.

Renseigner PfSense dans le DNS du Serveur Radius

Dmarrer | programmes | outils dadministration | DNS
En premier renseigner le service authentification dans Active Directory










SITA MAROC
41


Dans le dossier Pfsense.stage.com crer un nouvel hte ( A )



Paramtrer le service IAS

Dans linterface dadministration du Service dauthentification Internet, Ajouter un client Radius :



SITA MAROC
42

Renseigner le nom de PfSense, son adresse IP et Dfinir le secret partag entre PfSense et le serveur
Radius, dans notre exemple nous choisirons PfSense comme secret partag.

Remarque : Les secrets partags sont utiliss pour vrifier que les messages RADIUS, l'exception du
message de requte d'accs, sont envoys par un priphrique compatible RADIUS configur avec le
mme secret partag. Les secrets partags vrifient aussi que le message RADIUS n'a pas t modifi
en transit (intgrit du message). Le secret partag est galement utilis pour crypter certains attributs
RADIUS, tels que User-Password et Tunnel-Password




Ajoutons une nouvelle stratgie daccs distant personnalise:



SITA MAROC
43



Cration dune
nouvelle stratgie
dfinissant comment le
serveur Radius doit
fonctionner (avec
quels paramtres)
Le NAS (Network Access
Identifier) est la machine qui
reoit la demande
dauthentification du client
WiFi (ici la machine
Pfsense)



SITA MAROC
44










On spcifie ici le medium
utilis pour la connexion au
Radius



SITA MAROC
45




Ne pas oublier dajouter
le groupe dutilisateurs
dont Radius gre
lauthentification



SITA MAROC
46


Le serveur RADIUS correctement est configure.



On autorise laccs
distant puis dans la
fentre suivante loption
proprit |
authentification est ici
PAP, CHAP



SITA MAROC
47

5. Le test et mise en service portail captive

La solution installe a t faite de sorte ce que la mise en place du portail captif soit la plus
transparente possible pour les utilisateurs.


Le client devra se mettre en IP automatique. C'est--dire que l'adresse IP sera fourni par Pfsense. On
voit bien ci-dessous que l'IP a bien t transmise de faon automatique.
L'utilisateur devra ensuite, tout simplement, ouvrir un navigateur web (comme s'il voulait surfer sur le
web).
On taper le site quil vous voulez : http://www.google.com

Le client sera automatiquement redirig vers la page html d'authentification. Il devra alors entrer ici son
login et mot de passe de lutilisateur.


Si le login est bon, il pourra alors surfer sur Internet !



SITA MAROC
48
















SITA MAROC
49

CONCLUSION











Nous avons test une multitude de portails captifs et tous
sont cibls pour une utilisation Particulire. Nous avons
galement vu que lon peut choisir un portail qui se
paramtre via le site web du constructeur, un autre portail
qui sintgre dans un point daccs, etc ce qui fait autant
de possibilits que de solutions.
Pfsense aprs comparatif et tests est le meilleur compromis.
Cette solution de portail captif est stable, simple
dutilisation, modulable, volutive et scurise.
Scuriser Pfsense ft, et est encore aujourdhui la partie ou
nous avons pass le plus de temps.
Mettre en place un portail captif est une chose, mais il faut
en assurer la scurit. Alors que les problmes de scurit
deviennent de plus en plus importants dans les rseaux, et
notamment sur Internet, il convient d'tre conscient des
forces et des limites du portail captif, et des autres solutions
existantes afin d'assurer le meilleur rapport
praticabilit/scurit.
Le portail captif est particulirement adapt des accs
rseaux pour de nombreuses personnes, gnralement de
passage : il garantit une facilit d'utilisation par le client, qui
a priori n'aura besoin d'aucun support de la part de l'quipe
technique qui sera responsable du portail.



SITA MAROC
50
Webographie (ressources) :


http://doc.pfsense.org/index.php/InstallationGuide
http://www.commentcamarche.net/contents/91-radius
http://www.evmag.fr/site.php?page=audio300
http://fr.wikipedia.org/wiki/Portail_captif