Vous êtes sur la page 1sur 38

Scurit des Systmes dInformation et de Communication

EXPLOITATION

Ce document prsente les possibilits dexploitation et dadministration dALCASAR travers son centre de
gestion graphique (ALCASAR Control Center ACC) ou au moyen de lignes de commandes Linux.

Projet : ALCASAR Auteur : Rexy et 3abtux avec laide de lquipe ALCASAR Team
Objet : Document dexploitation Version : 3.1.1
Mots cls : portail captif, contrle daccs, imputabilit, traabilit, authentification Date : Mai 2017

Document dexploitation ALCASAR 3.1.1 1/38


Table des matires
1.Introduction.........................................................................................................................................................3
2.Configuration rseau...........................................................................................................................................4
2.1.Paramtres dALCASAR..........................................................................................................................................5
2.2.Paramtres des quipements utilisateurs...................................................................................................................5
3.Grer les utilisateurs et leurs quipements..........................................................................................................7
3.1.Activit sur le rseau.................................................................................................................................................7
3.2.Crer des groupes......................................................................................................................................................8
3.3.diter et supprimer un groupe...................................................................................................................................9
3.4.Crer des utilisateurs.................................................................................................................................................9
3.5.Chercher, diter et supprimer un utilisateur..............................................................................................................9
3.6.Importer des utilisateurs..........................................................................................................................................11
3.7.Vider la base des utilisateurs...................................................................................................................................11
3.8.Les exceptions lauthentification..........................................................................................................................11
3.9.Auto enregistrement par SMS.................................................................................................................................12
4.Filtrage...............................................................................................................................................................15
4.1.Liste noire et liste blanche.......................................................................................................................................15
4.2.Filtrage personnalis de protocoles rseau..............................................................................................................16
5.Accs aux statistiques........................................................................................................................................17
5.1.Nombre de connexions par utilisateur et par jour....................................................................................................17
5.2.tat des connexions des utilisateurs........................................................................................................................17
5.3.Usage journalier......................................................................................................................................................18
5.4.Trafic global et dtaill...........................................................................................................................................18
5.5.Rapport de scurit.................................................................................................................................................20
6.Sauvegarde........................................................................................................................................................21
6.1.Archives - Journaux de traabilit...........................................................................................................................21
6.2.Archives - Base des utilisateurs..............................................................................................................................21
6.3.Archives - Rapports dactivit hebdomadaire.........................................................................................................21
6.4.Journaux dimputabilit..........................................................................................................................................21
7.Fonctions avances............................................................................................................................................22
7.1.Gestion des comptes dadministration.....................................................................................................................22
7.2.Administration scurise travers Internet.............................................................................................................22
7.3.Afficher votre logo..................................................................................................................................................25
7.4.Changement du certificat de scurit......................................................................................................................25
7.5.Utilisation dun serveur dannuaire externe (LDAP ou A.D.).................................................................................26
7.6.Intgration dans une architecture complexe (A.D., DHCP externe, LDAP)............................................................27
7.7.Chiffrement des fichiers journaux...........................................................................................................................28
7.8.Gestion de plusieurs passerelles Internet (load balancing)......................................................................................29
7.9.Crer son PC ddi ALCASAR..............................................................................................................................29
7.10.Contournement du portail (By-pass).....................................................................................................................29
8.Arrt, redmarrage, mises jour et rinstallation..............................................................................................30
8.1.Arrt et redmarrage du systme.............................................................................................................................30
8.2.Mises jour du systme dexploitation...................................................................................................................30
8.3.Mise jour mineure dALCASAR..........................................................................................................................30
8.4.Mise jour majeure ou rinstallation dALCASAR...............................................................................................30
9.Diagnostics........................................................................................................................................................31
9.1.Connectivit rseau.................................................................................................................................................31
9.2.Espace disque disponible........................................................................................................................................31
9.3.Services serveur ALCASAR...................................................................................................................................31
9.4.Problmes dj rencontrs.......................................................................................................................................32
9.5.Optimisation du serveur..........................................................................................................................................33
10.Scurisation.....................................................................................................................................................34
10.1.Du serveur ALCASAR..........................................................................................................................................34
10.2.Du rseau de consultation.....................................................................................................................................34
11.Annexes...........................................................................................................................................................36
11.1.Commandes et fichiers utiles................................................................................................................................36
11.2.Exceptions dauthentification utiles......................................................................................................................37
11.3.Fiche utilisateur ...............................................................................................................................................38

Document dexploitation ALCASAR 3.1.1 2/38


1. Introduction
ALCASAR est un contrleur daccs au rseau (NAC : Network Access Controler) libre et gratuit. Ce
document a pour objectif dexpliquer ses diffrentes possibilits dexploitation et dadministration.

Concernant les utilisateurs du rseau de consultation, la page dinterception suivante est affiche ds que leur
navigateur tente de joindre un site Internet en HTTP. Cette page est prsente en 8 langues (anglais, espagnol,
allemand, hollandais, franais, portugais, arabe et chinois) en fonction de la configuration de leur navigateur.
Tans quils nont pas satisfait au processus dauthentification, aucune trame rseau provenant de leur
quipement ne peut traverser ALCASAR.

La page daccueil du portail est consultable partir de


nimporte quel quipement situ sur le rseau de
consultation. Elle est situe lURL http://alcasar (ou
http://alcasar.localdomain). Elle permet aux utilisateurs de
se connecter, de se dconnecter, de changer leur mot de
passe et dintgrer le certificat de scurit dans leur
navigateur.
Cette page permet aux administrateurs daccder au centre
de gestion graphique ACC (ALCASAR Control Center)
en cliquant sur la roue crante situe en bas droite de la
page (ou via le lien : https://alcasar.localdomain/acc).

Ce centre de gestion est exploitable en deux langues (anglais et franais) via une connexion chiffre (HTTPS).
Une authentification est requise au moyen dun compte dadministration li lun des trois profils suivants (cf.
7.1) :
profil admin permettant daccder toutes les fonctions dadministration du portail ;
profil manager limit aux tches de gestion des utilisateurs du rseau de consultation ;
profil backup limit aux tches de sauvegarde et darchivage des fichiers journaux.

Attention: Le dtecteur dintrusion


intgr ALCASAR interdira toute
tentatives de nouvelle connexion pendant
3, sil a dtect 3 checs conscutifs de
connexion au centre de gestion.

Document dexploitation ALCASAR 3.1.1 3/38


2. Configuration rseau

Rseau de consultation

Rpteur WIFI

Commutateur (switch)
CPL
Adaptateur CPL
Point d'accs WIFI
Carte rseau interne
(fonctions de routage et
DHCP inhibes)
ALCASAR

Carte rseau externe

Commutateur ou Routeur multi-WAN. Cet quipement


optionnel permet d'quilibrer la charge quand plusieurs
connexions Internet sont utilises simultanment.

Routeurs de sortie (quipements de FAI)

Internet

Les quipements de consultation peuvent tre connects sur le rseau de consultation au moyen de diffrentes
technologies (filaire Ethernet, WiFi, CPL, etc.). Pour tous ces quipements, ALCASAR joue le rle de serveur
de noms de domaine (DNS), de serveur de temps (NTP) et de routeur par dfaut (default gateway).

ATTENTION : Sur le rseau de consultation, il ne doit y avoir aucun autre routeur.


Vrifiez la configuration des points daccs WIFI qui doivent tre en mode pont ou bridge .

Le plan dadressage IP du rseau de consultation est dfini lors de linstallation du portail.

Exemple pour un rseau de consultation en classe C (propos par dfaut)

Adresse IP du rseau : 192.168.182.0/24 (masque de rseau : 255.255.255.0) ;


Nombre maximum dquipements : 253 ;
Adresse IP de la carte rseau interne dALCASAR : 192.168.182.1/24 ;
Paramtres des quipements :
adresses IP disponibles : de 192.168.182.3 192.168.182.254 (statiques ou dynamiques) ;
adresses du serveur DNS : 192.168.182.1 (adresse IP de la carte rseau interne dALCASAR) ;
suffixe DNS : localdomain (ce suffixe doit tre renseign pour les quipements en adressage statique) ;
adresse du routeur par dfaut (default gateway) : 192.168.182.1 (adresse IP de la carte rseau interne dALCASAR) ;
masque de rseau : 255.255.255.0

Document dexploitation ALCASAR 3.1.1 4/38


2.1. Paramtres dALCASAR
Le menu systme + rseau vous permet de visualiser et de modifier les paramtres rseau dALCASAR.

a) Configuration IP

Si vous modifiez le plan d'adressage du rseau de consultation, vous devrez relancer tous les
quipements connects ce rseau (dont le vtre).
Vous pouvez aussi modifier ces paramtres en mode console en ditant le fichier /usr/local/etc/alcasar.conf
puis en lanant la commande alcasar-conf.sh -apply .

b) Serveur DHCP

Le serveur DHCP (Dynamic Host Control Protocol) fournit de manire dynamique les paramtres rseau aux
quipements de consultation.
Vous pouvez rserver des adresses IP pour vos quipements exigeant un adressage statique (serveurs,
imprimantes, commutateurs, points daccs WIFI, etc.).
ALCASAR doit tre le seul routeur et le serveur DHCP sur le rseau de consultation. Dans le cas contraire,
assurez-vous de bien matriser larchitecture multi-serveurs DHCP (cf. 7.6 concernant la cohabitation avec un
serveur A.D. ).
c) rsolution locale de nom

Comme ALCASAR est le serveur de nom (DNS) de votre rseau local, vous pouvez lui demander de rsoudre
les noms de certains de vos quipements rseau afin de pouvoir les joindre plus facilement. Dans l'exemple ci-
dessus, le serveur situ l'adresse 192.168.182.5 pourra tre contact directement pas son nom my_nas .

2.2. Paramtres des quipements utilisateurs

a) Paramtres rseau
Une fiche explicative destination des utilisateurs est disponible la fin de ce document.
Il est conseill de configurer le rseau des quipements utilisateur en mode dynamique (DHCP). Ces
quipements ne ncessitent quun simple navigateur acceptant le langage JavaScript . Pour tre intercept
facilement par ALCASAR, il est conseill de configurer la page de dmarrage par dfaut de ce navigateur sur

Document dexploitation ALCASAR 3.1.1 5/38


un site WEB non chiffr (HTTP). Les paramtres de proxy ne doivent pas tre activs.
b) Ajout dun favoris / marque-page (bookmark)
Dans les navigateurs, il peut tre pratique dajouter un favori pointant vers la page daccueil dALCASAR
(http://alcasar.localdomain) afin de permettre aux utilisateurs de changer leur mot de passe, de se
connecter/dconnecter ou dintgrer le certificat de lAutorit de Certification (cf. suivant).
c) Intgration du certificat de lAutorit de Certification dALCASAR
Certaines communications effectues entre les quipements de consultation et ALCASAR sont chiffres au
moyen du protocole SSL (Secure Socket Layer). Ce chiffrement exploite deux certificats crs lors de
linstallation : le certificat dALCASAR et le certificat dune Autorit de Certification locale (A.C.). Par dfaut,
les navigateurs WEB situs sur le rseau de consultation ne connaissent pas cette autorit. Ils prsentent donc
les fentres dalerte suivantes lorsquils communiquent pour la premire fois avec ALCASAR.

Mozilla-Firefox Microsoft-I.E. Google-chrome

Bien quil soit possible de poursuivre la navigation, il est intressant


dinstaller le certificat de lA.C. dans les navigateurs afin quils ne
prsentent plus ces fentres dalerte1. Pour cela, cliquez sur la zone
Installer le certificat racine de la page daccueil dALCASAR. Pour
chaque navigateur, linstallation est la suivante :

Slectionnez Confirmer
cette AC pour identifier
des sites WEB.

Mozilla-Firefox

1 cliquez sur ouvrir 2 cliquez sur autoriser 3 cliquez sur installer le 4 choisissez le magasin autorit de
certificat certification racine de confiance

Internet Explorer 8 et Safari

Google chrome : Chrome enregistre le certificat localement en tant que fichier ( certificat_alcasar_ca.crt ).
Slectionnez prfrences dans le menu de configuration, puis options avances , puis grer les
certificats et enfin importer de longlet Autorits .

1 Vous pouvez viter cette manipulation soit en achetant et en intgrant ALCASAR un certificat de scurit officiel et donc reconnu
par lensemble des navigateurs (cf. 7.4), soit en dsactivant le chiffrement des flux dauthentification au moyen du script alcasar-
https.sh {-on|-off} . La dsactivation du chiffrement implique que vous matrisez totalement le rseau de consultation (cf. 11).

Document dexploitation ALCASAR 3.1.1 6/38


d) Configuration rseau en mode statique (serveurs, imprimantes, point daccs WIFI, etc.) :
Pour les quipements configurs dans ce mode, les paramtres doivent tre :
routeur par dfaut (default gateway) : adresse IP dALCASAR sur le rseau de consultation (192.168.182.1 par dfaut) ;
serveur DNS : adresse IP dALCASAR sur le rseau de consultation (192.168.182.1 par dfaut) ;
suffixe DNS : localdomain

Windows Linux Mageia


e) Synchronisation horaire
ALCASAR intgre un serveur de temps (protocole NTP ) vous permettant de synchroniser les quipements
du rseau de consultation. Que ce soit sous
Windows ou sous Linux, un click droit sur
lhorloge du bureau permet de dfinir le serveur
de temps.
Renseignez alcasar.localdomain .

3. Grer les utilisateurs et leurs quipements


Linterface de gestion des utilisateurs et de leurs quipements est disponible la rubrique
AUTHENTIFICATION .
Les possibilits de cette interface sont les suivantes :
grer lactivit du rseau (dconnect un utilisateur, authentifier un quipement, etc.) ;
crer, chercher, modifier et supprimer des utilisateurs ou des groupes dutilisateurs ;
importer des noms dutilisateur via un fichier texte ou via une archive de la base des
utilisateurs. Rinitialiser la base des utilisateurs ;
dfinir des sites de confiance pouvant tre joints sans authentification (exceptions) ;
grer le systme d'auto-enregistrement via un adaptateur GSM et des SMS.

3.1. Activit sur le rseau quipements sur lequel un utilisateur est connect. Vous
pouvez le dconnecter. Vous pouvez aussi accder aux
caractristiques de celui-ci en cliquant sur son nom

quipement autoris traverser


ALCASAR de manire permanente
(quipement de confiance- cf.3.8.c)

quipement autoris traverser


ALCASAR temporairement

quipements connect au rseau de consultation sans utilisateur


authentifi. Vous pour autoriser temporairement cet quipement
traverser ALCASAR.
Vous pouvez dissocier son adresse IP (cela peut tre ncessaire
quand vous changez son adresse IP et quALCASAR avait dj
enregistr la prcdente).

Document dexploitation ALCASAR 3.1.1 7/38


3.2. Crer des groupes
Dune manire gnrale, et afin de limiter la charge dadministration, il est plus intressant de grer les
utilisateurs travers des groupes. cet effet, la premire action entreprendre est de dfinir lorganisation (et
donc les groupes) que lon veut mettre en place.
Lors de la cration dun groupe, vous pouvez dfinir les attributs qui seront affects chacun de ses membres.
Ces attributs ne sont pris en compte que sils sont renseigns. Ainsi, laissez le champ vide si vous ne dsirez pas
exploiter un attribut. Cliquez sur le nom de lattribut pour afficher une aide.

Le nom ne doit pas comporter d'accents ou de caractres particuliers.


La casse est prise en compte (groupe1 et Groupe1 sont deux noms de
groupes diffrents).

Date d'expiration
Au del de cette date, les membres du groupe ne peuvent
plus se connecter. Une semaine aprs cette date, les usager
sont automatiquement supprims.
Cliquez sur la zone pour faire apparatre un calendrier.

Priode autorise
Cette priode dbute lors de la premire connexion de lusager. Vous pouvez
exploiter le menu droulant pour convertir jour/heure/minute en secondes.

3 limites de dure de connexion


l'expiration d'une de ces limites, l'usager est dconnect. Vous pouvez
exploiter le menu droulant pour convertir jour/heure/minute en secondes.

Nombre de session que l'on peut ouvrir simultanment


Exemples: 1 = une seule session ouverte la fois, vide = pas de limite, X
= X sessions simultanes autorises, 0 = compte verrouill.
Note : c'est un bon moyen pour verrouiller ou dverrouiller momentanment des comptes

Priode autorise de connexion


(exemple pour une priode allant du lundi 7h au vendredi 18h :
Mo-Fr0700-1800)

5 paramtres lis la qualit de service


Vous pouvez dfinir des limites d'exploitation.
Les limites de volume sont dfinies par session. Quand la valeur est atteinte,
l'usager est dconnect.

URL de redirection
Une fois authentifi, l'usager est redirig vers cette URL.
La syntaxe doit contenir le nom du protocole. Exemple:
http://www.site.org
Filtrage de noms de domaine et antiviral
Choisissez la politique de filtrage de noms de domaine.
Cf. 4 pour configurer la liste noire (blacklist), la liste blanche
(whitelist) et l'antivirus.

Filtrage de protocoles rseau


Choisissez ici de restreindre ou non les protocoles rseau.
Cf. 4 pour configurer la liste personnalise des protocoles

Aide en ligne: cliquez sur le nom des attributs

Document dexploitation ALCASAR 3.1.1 8/38


3.3. diter et supprimer un groupe
Cliquez sur l'identifiant
du groupe pour diter
ses caractristiques

3.4. Crer des utilisateurs

La casse est prise en compte pour l'identifiant et le mot de passe


(Dupont etdupont sont deux usagers diffrents)

Appartenance ventuelle un groupe. Dans ce cas, l'usager hrite


des attributs du groupe*.

* Quand un attribut est dfini la fois pour un


utilisateur et pour son groupe dappartenance, cest
cf. chapitre prcdent
le paramtre de lutilisateur qui est pris en compte. pour connatre le rle des
* Quand un utilisateur est membre de plusieurs attributs
groupes, le choix de son groupe principal est ralis
dans la fentre dattributs de cet utilisateur (cf.
suivant).
* Lorsquun utilisateur est verrouill par un de ses
attributs, il en est averti par un message situ dans la
fentre dauthentification (cf. fiche utilisateur
la fin de ce document).
* si vous renseignez le champ nom et
prnom , celui-ci sera affich dans les
diffrentes fentres dactivits.

Affichage/masquage de
Une fois l'usager cr, un ticket au format PDF est tous les attributs
gnr. Il vous est prsent dans la langue de votre choix

Si vous crez plusieurs utilisateurs, il peut tre


intressant de dfinir une date d'expiration (Cf.
Remarque ci-dessous)

Remarque : lorsquune date dexpiration est renseigne, lutilisateur sera automatiquement supprim une
semaine aprs cette date. Le fait de supprimer un utilisateur de la base ne supprime pas les traces permettant de
lui imputer ses connexions.

3.5. Chercher, diter et supprimer un utilisateur


Il est possible de rechercher des utilisateurs en fonction de diffrents
critres (identifiant, attribut, etc.). Si le critre de recherche nest pas

Document dexploitation ALCASAR 3.1.1 9/38


renseign, tous les utilisateurs seront affichs.

Le rsultat est une liste dutilisateurs correspondant vos critres de


recherche. La barre doutils associe chaque utilisateur est
compose des fonctions suivantes :

Attributs de l'usager Informations personnelles

Suppression

Information gnrale (connexion ralises, Session actives


statistiques, test du mot de passe, etc.) (possibilit de dconnecter l'usager)

Historique des connexions


(possibilit de dfinir des priodes d'observation)

Document dexploitation ALCASAR 3.1.1 10/38


3.6. Importer des utilisateurs
Via linterface de gestion (menu AUTHENTIFICATION , Importer ) :
a) partir dune base de donnes pralablement sauvegarde
Cette action supprime la base existante. Cette dernire
constituant une partie des pices fournir en cas
denqute, une sauvegarde est automatiquement effectue
(cf. 7 pour rcuprer cette sauvegarde).
b) partir dun fichier texte (.txt)
Cette fonction permet dajouter rapidement des utilisateurs la base existante. Ce fichier texte doit tre
structur de la manire suivante : les identifiants de connexion doivent tre enregistrs les uns sous les autres.
Ces identifiants peuvent tre suivis par un mot de passe (spar par un espace). Dans le cas contraire,
ALCASAR gnrera un mot de passe alatoire. Ce fichier peut tre issu dun tableur :
dans le cas de la suite Microsoft , enregistrez au format Texte (DOS) (*.txt) ;
dans le cas de LibreOffice , enregistrez au format Texte CSV (.csv) en supprimant les sparateurs
(option diter les paramtres de filtre ).
Une fois le fichier import, ALCASAR cre chaque nouveau compte. Si des identifiants identiques existaient
dj, le mot de passe est simplement modifi. Deux fichiers au format .txt et .pdf contenant les
identifiants et les mots de passe sont gnrs et stocks pendant 24h dans le rpertoire /tmp du portail. Ces
fichiers sont disponibles dans linterface de gestion.

Afin de facilit la gestion des nouveaux usagers, vous


pouvez les affecter un groupe.

chaque import, un fichier contenant les noms et les mots


de passe est gnr. Il reste disponible pendant 24h (format
txt et pdf).

3.7. Vider la base des utilisateurs


Cette fonctionnalit permet de supprimer tous les utilisateurs en une
seule opration. Une sauvegarde de la base avant purge est
automatiquement ralise. Voir le 6.2 pour rcuprer cette sauvegarde.
Voir le chapitre prcdent pour la rinjecter.
3.8. Les exceptions lauthentification
Par dfaut, ALCASAR bloque tous les flux rseau en provenance dquipement de consultation sans utilisateur
authentifi. Vous pouvez cependant dfinir des exceptions ce comportement afin de permettre :
aux logiciels antivirus et aux systmes dexploitation de se mettre jour automatiquement sur les sites
Internet des diteurs (cf.11.2) ;
de joindre sans authentification un serveur ou une zone de scurit (DMZ) situe derrire ALCASAR ;
certains quipements de ne pas tre intercepts.
a) Sites de confiance
Dans cette fentre, vous pouvez grer des noms de
sites ou de domaines de confiance. Dans le cas dun
nom de domaine, tous les sites lis sont autoriss
(exemple : .free.fr autorise ftp.free.fr,
www.free.fr, etc.).
Vous pouvez insrer le lien dun site de confiance
dans la page dinterception d'ALCASAR prsente
aux utilisateurs.

Document dexploitation ALCASAR 3.1.1 11/38


b) Adresses IP de confiance

Dans cette fentre, vous pouvez dclarer des adresses IP dquipements ou de rseaux (toute une DMZ par
exemple). Le filtrage de protocoles (cf. 4.2.c) na pas daction sur les adresses dclares ici.
c) quipements de confiance
Il est possible dautoriser certains quipements situs sur le rseau de consultation traverser ALCASAR sans
tre intercepts. Pour cela, il faut crer un utilisateur dont l'identifiant (nom de login) est ladresse MAC de
lquipement (crite de la manire suivante : 08-00-27-F3-DF-68) et le mot de passe est : password .
Il faut garder lesprit que dans ce cas les traces de connexion vers Internet seront imputes cet quipement
(et non un utilisateur).
En renseignant les informations nom et prnom du compte ainsi cr,
vous enrichissez laffichage de ladresse MAC dans les diffrentes fentres
dactivit (comme dans la copie dcran suivante).
3.9. Auto enregistrement par SMS

a) Objectif, principe et prrequis


Lobjectif de ce module est de proposer aux utilisateurs de sauto-enregistrer tout en respectant les exigences
lgales franaises en termes dimputabilit. Pour faire fonctionner ce module, vous devez acqurir un modem
GSM (appel aussi cls 3G ) ainsi quun abonnement basique chez un oprateur de tlphonie mobile.
Le principe de fonctionnement est le suivant : lutilisateur dsirant un compte ALCASAR envoie un simple
SMS vers le numro de la cl 3G install sur ALCASAR. Le texte du SMS constitue le mot de passe quil
dsire exploiter. la rception du SMS, ALCASAR cre un compte dont l'identifiant est le numro de
tlphone mobile de lutilisateur.
Lors de nos essais, nous avons exploit labonnement basique de loprateur Free . Les cls 3G suivantes ont
t testes et valides :
Huawei E180
~ 30
Connectique : USB
Alimentation : USB
Fonctionnelle, mme si des problmes lis au micrologiciel embarqu (firmware) Huawei ont t
rencontrs. Vrifiez qu'il est bien jour.
Configuration : at19200

Wavecom Fastrack suprem 10


~ 60
Connectique : RS-232 (achat dun cble RS-232/USB ncessaire)
Alimentation : Secteur
Aucun problme na t rencontr.
Configuration : at115200

Wavecom Q2303A Module USB


~ 40
Connectique : USB
Alimentation : USB
Aucun problme na t rencontr.
Configuration : at9600

Document dexploitation ALCASAR 3.1.1 12/38


b) Lancement du service
Ce module est accessible en se rendant dans le
menuAuthentification, puis Auto enregistrement (SMS).

Si aucune cl n'est reconnue, la


page suivante est prsente.

Si une cl 3G compatible est reconnue, le panneau dadministration suivant est prsent


(ne lancez le service quune fois tous les champs renseigns !!!) :

Affiche l'tat du service.

Renseignez le numro tlphone Configuration de la


associe la carte SIM(1) vitesse de connexion(5)

Renseignez le code PIN de la carte SIM.


Attention!!! un code erron bloquera la carte(2)

Dure de validit des comptes crs (en jours)(3)


Nombre d'essais pour chaque numro de GSM
avant le blocage(4)
Dure du blocage (en jours)(4)

(1)
Ce numro doit tre renseign au format international : +xxYYYYYYYYY. xx correspond au code
indicatif de votre pays (33 pour la France). YYYYYYYYY correspond aux neuf derniers chiffres du
numro. Ce numro sera visible dans lInterface utilisateur (cf. suivant). Ex. : pour le numro franais
0612345678 , le numro international associ est : +33612345678 .
(2)
Attention, en cas de mauvais code PIN, votre carte SIM sera bloque. Le cas chant, veuillez vous rfrer
la documentation technique dALCASAR (8.2 - Auto-inscription par SMS pour la dbloquer.
(3)
Ce champ permet dindiquer la dure de validit des comptes crs de cette manire.
(4)
Afin de limiter le SPAM de SMS, la politique de blocage base sur les deux paramtres suivants est active :
le nombre dessais autoris par GSM quand un mot de passe reu est considr comme invalide (le mot
de passe ne doit tre constitu que dun mot unique).
la dure de blocage reprsente le nombre de jours durant lesquels les SMS en provenance dun numro
bloqu seront ignors par ALCASAR.
5)
Chaque Cl 3G possde sa propre vitesse de transfert. Le chapitre prcdent vous permet de connatre la
vitesse des cls testes. Si vous utilisez une autre cl, veuillez consulter la base de connaissance suivante :
http://fr.wammu.eu/phones/

Une fois que vous avez renseign toutes les informations, vous pouvez lancer le service en cliquant sur le
bouton Dmarrer . Ltat du service devrait alors tre le suivant :

Ce tableau vous indique ltat du service, la force de rception du signal de votre cl 3G, lIMEI (numro
didentification unique de votre cl 3G) ainsi que le nombre de SMS reu depuis lactivation du service (ce
nombre est remis 0 chaque redmarrage du service).

Document dexploitation ALCASAR 3.1.1 13/38


c) Interface utilisateur
Une fois que le service dauto enregistrement est fonctionnel, la page
dinterception prsente aux utilisateurs propose un lien complmentaire
Auto-enregistrement . La page principale dALCASAR prsente aussi
un lien ddi (http://alcasar.localdomain).

Ces liens pointent sur la


procdure suivre. En plus
daider lutilisateur crer
un compte ALCASAR, cette
page permet de connatre
ltat des comptes crs
ainsi que ltat de blocage
des numros.

d) Gestion des comptes [administration]


Les comptes ALCASAR crs avec cette mthode nont quun seul
attribut propre : la date dexpiration. Ces comptes appartiennent au
groupe dutilisateurs sms . Vous pouvez ainsi affecter les attributs
que vous dsirez (bande passante, filtrage, dure de session, etc.) ce
groupe (cf. 3.2. diter et supprimer un groupe). Ces comptes napparaissent pas dans linterface de gestion
standard.

Un rcapitulatif des comptes crs ou bloqus


est affich sur le panneau dadministration
dauto enregistrement. Les numros bloqus
ne seront plus pris en compte jusqu ce que
leur date dexpiration arrive terme. Laction
Effacer entrane la suppression du compte ou le dblocage du numro de tlphone. Ce numro pourra alors
se rinscrire.

e) Filtrage par pays


linstallation dALCASAR, seuls les
numros de tlphone franais sont autoriss
(code pays : +33). Une interface permet de
grer les autres pays :
France mtropolitaine seulement ;
Pays de lUnion Europenne ;
Tous les pays ;
Rglage personnel : vous pouvez activer
ou dsactiver diffrents pays.
f) Les messages derreur [administration]
Erreurs sur le dmarrage du service :
Le service semble ne pas parvenir discuter avec la cl (port ttyUSB0). Problme lors de lchange entre la cl 3G et le service ALCASAR. Votre cl 3G est
srement exploite par un autre programme.
Impossible de se connecter la cl 3G. Timeout. Consquence de lerreur prcdente. La cl a t dconnecte.
Un problme au niveau de la carte SIM a t dtect. Est-elle prsente? Ce message apparait quand la carte SIM nest pas prsente dans la cl 3G.
Attention, lors du dernier dmarrage, votre code PIN tait erron. La Attention, en cas de mauvais code PIN, votre carte SIM sera bloque. Le cas chant, le
carte SIM doit tre bloque (code PUK). Consultez la documentation. code PUK vous permet de la dbloquer. Pour plus de dtail, veuillez vous rfrer la
documentation technique dALCASAR (8.2 - Auto-inscription par SMS .

Document dexploitation ALCASAR 3.1.1 14/38


4. Filtrage
ALCASAR possde plusieurs dispositifs optionnels de filtrage :
une liste noire et une liste blanche de noms de domaine, dURL et dadresses IP ;
un anti-malware sur le flux WEB ;
un filtre de flux rseau permettant de bloquer certains protocoles rseau.
Le premier dispositif de filtrage a t dvelopp la demande dorganismes susceptibles daccueillir un jeune
public (coles, collges, centres de loisirs, etc.). Ce filtre peut tre compar
aux dispositifs de contrle scolaire/parental. Il peut tre activ (ou
dsactiv) pour chaque utilisateur (ou groupe dutilisateurs) en modifiant
ses attributs (cf. 3.2 et 3.4).
Les noms de domaine, adresses IP et URL bloqus sont rfrencs dans deux listes.
Soit vous exploitez une liste blanche (whitelist). Les utilisateurs filtrs de cette manire ne peuvent accder
quaux sites et adresses IP spcifis dans cette liste blanche.
Soit vous exploitez une liste noire (blacklist). Les utilisateurs filtrs de cette manire peuvent accder
tous les sites et adresses IP lexception de ceux spcifis dans cette liste noire.
Sur ALCASAR, ce premier dispositif de filtrage fonctionne sur la totalit des protocoles rseau. Par exemple, si
le nom de domaine warez.com est bloqu, il le sera pour tous les services rseau (HTTP, HTTPS, FTP, etc.)
ALCASAR exploite lexcellente liste (noire et blanche) labore par luniversit de Toulouse. Cette liste a t
choisie, car elle est diffuse sous licence libre (creative commons) et que son contenu fait rfrence en France.
Dans cette liste, les noms de domaines (ex. : www.domaine.org), les URL (ex. :
www.domaine.org/rubrique1/page2.html) et les adresses IP (ex. : 67.251.111.10) sont classs par catgories
(jeux, astrologie, violence, sectes, etc.). Linterface de gestion dALCASAR vous permet :
de mettre jour cette liste et de dfinir les catgories de sites bloquer ou autoriser ;
de rhabiliter un site bloqu (exemple : un site ayant t interdit a t ferm puis rachet) ;
dajouter des sites, des URL ou des @IP non connus de la liste (alertes CERT, directives locales, etc.).

Ce systme de filtrage par liste blanche ou noire est activable par utilisateur (ou groupe dutilisateur). Quand il
est activ, il est automatiquement coupl un antimalware qui permet de dtecter toute sorte de logiciels (virus,
vers, hameonnage, etc.). Cet antimalware est mis jour toutes les 4 heures.
4.1. Liste noire et liste blanche

a) Mettre jour la liste


La mise jour consiste tlcharger le fichier de la dernire version
de la liste de Toulouse, de le valider et de lintgrer ALCASAR. Une
fois le fichier tlcharg, ALCASAR calcule et affiche son empreinte
numrique. Vous pouvez alors comparer cette empreinte avec celle
disponible sur le site de Toulouse. Si les deux sont identiques, vous
pouvez valider la mise jour. Dans le cas contraire, rejetez-la.

b) Modifier la liste noire


Vous pouvez choisir les catgories filtrer.

En cliquant sur le nom dune catgorie, vous affichez sa dfinition ainsi que le
nombre de noms de domaine, dURL et dadresses IP quelle contient. En
cliquant sur un de ces nombres, vous affichez les 10 premires valeurs.
Vous pouvez rhabiliter des noms de domaine ou des adresses IP.
Vous pouvez ajouter des noms de domaine et des adresses IP directement dans linterface ou via limportation
de fichiers texte . Ces fichiers peuvent tre activs, dsactivs ou supprims. Chaque ligne de ces fichiers

Document dexploitation ALCASAR 3.1.1 15/38


texte peut tre un nom de domaine ou une adresse IP.
titre dexemple, lquipe ALCASAR fournit un premier fichier contenant les nuds dentre du rseau TOR.
Info : si vous faites des tests de filtrage et de rhabilitation, pensez vider la mmoire cache des navigateurs.
c) Filtrage spcial
La liste noire possde deux filtres spciaux
complmentaires pour le protocole HTTP. Le premier
bloque les URL contenant une adresse IP la place
dun nom de domaine.
Le deuxime permet dexclure du rsultat du moteur de recherche Google les liens susceptibles de ne pas
convenir aux mineurs (fonction : safesearch ).
Il peut fonctionner avec YouTube condition de rcuprer
un identifiant (ID) sur le site YouTube suivant :
http://www.youtube.com/education_signup. Une fois que votre
compte YouTube est cr, copiez lidentifiant qui vous est Lors de la cration de votre compte Youtube,
attribu dans linterface de gestion ALCASAR et enregistrez Rcuprez votre identifiant (chane de
les modifications. caractres situe aprs le :).

d) Modifier la liste blanche

Comme pour la liste noire, vous pouvez slectionner des catgories et ajouter vos propres noms de domaine et
adresses IP.
Note : liste_bu est une catgorie utilise par les tudiants franais (bu=bibliothque universitaire). Cette
catgorie contient un grand nombre de sites trs utiles et valids par les quipes enseignantes.

4.2. Filtrage personnalis de protocoles rseau


Si vous avez activ le filtrage de protocoles rseau de type personnalis (cf. 3.2 et 3.4), cest ici que vous
pouvez dfinir les protocoles que vous laissez passer. Une liste de protocoles vous est dj propose. Vous
pouvez la modifier en fonction de vos souhaits.
ICMP : exploit par
la commande ping
par exemple.
SSH (Secure SHell) :
connexions
distance scurise.
SMTP (Simple Mail
Transport Protocol) :
envoi de courrier
lectronique
(outlook,
thunderbird, etc.).
POP (Post Office Protocol) : Rcupration de courrier lectronique.
HTTPS (HTTP secure) : navigation scurise.

Document dexploitation ALCASAR 3.1.1 16/38


5. Accs aux statistiques
Linterface des statistiques est disponible, aprs authentification, sur la page de gestion du
portail (menu statistiques ).
Cette interface permet daccder aux informations suivantes ;
nombre de connexion par utilisateur et par jour (mise jour toutes les nuits
minuit) ;
tat des connexions des utilisateurs (mise jour en temps rel)
charge journalire du portail (mise jour toutes les nuits minuit) ;
trafic rseau global et dtaill (mise jour toutes les 5 minutes) ;
rapport de scurit (mis jour en temps rel)
5.1. Nombre de connexions par utilisateur et par jour
Cette page affiche, par jour et par utilisateur, le nombre et le temps de connexion ainsi que les volumes de
donnes changes. Attention : le volume de donnes changes correspond ce quALCASAR a transmis
lutilisateur (upload) ou reu de lutilisateur (download).
Nom Nombre Temps cumul Volume de donnes
d'usager de connexion de connexion changes

Une ligne par jour

Vous pouvez adapter cet tat en :


- filtrant sur un usager particulier;
- dfinissant la priode considrer;
- triant sur un critre diffrent.

5.2. tat des connexions des utilisateurs


Cette page permet de lister les ouvertures et fermetures de session effectues sur le portail. Une zone de saisie
permet de prciser vos critres de recherche et daffichage :
Sans critre de recherche particulier, la liste chronologique des connexions est affiche (depuis linstallation du
portail). Attention : le volume de donnes changes correspond ce quALCASAR a transmis lutilisateur
(upload) ou reu de lutilisateur (download).

Dfinissez ici vos critres de recherche. Par


dfaut, aucun critre n'est slectionn. La
liste des connexions effectues depuis
Dfinissez ici vos critres d'affichage. Des critres ont l'installation du portail sera alors affiche
t pr-dfinis. Ils rpondent la plupart des besoins dans l'ordre chronologique.
(nom d'usager, adresse ip, dbut de connexion, fin de Deux exemples de recherche particulire
connexion, volume de donnes changes). Utilisez les sont donns ci-aprs.
touches <Ctrl> et <Shift> pour modifier la selection.

Exemple de recherche N1. Affichage dans lordre chronologique des connexions effectues entre le 1er
juin et le 15 juin 2009 avec les critres daffichage par dfaut :

Document dexploitation ALCASAR 3.1.1 17/38


Exemple de recherche N2. Affichage des 5 connexions les plus courtes effectues pendant le mois de juillet
2009 sur la station dont ladresse IP est 192.168.182.129 . Les critres daffichage intgrent la cause de
dconnexion et ne prennent pas en compte le volume de donnes changes :

5.3. Usage journalier


Cette page permet de connatre la charge journalire du portail.
Dfinissez ici la priode observe. Vous
pouvez dfinir un usager particulier
(laissez ce champs vide pour prendre en
compte tous les usagers.

5.4. Trafic global et dtaill

Trafic global
Cette vue du trafic rseau permet dafficher les
statistiques par heure, jour ou mois.

Document dexploitation ALCASAR 3.1.1 18/38


Trafic dtaill
Cette page permet dafficher les statistiques de trafic rseau sortant vers Internet (par jour, par semaine
et par mois). Les donnes sont actualises toutes les 5.

Via le menu details , il est possible de zoomer sur une zone particulire. Pour les flux HTTP, les adresses du
rseau de consultation sont anonymises et remplaces par ladresse dALCASAR.

Le menu plugins permet dafficher le trafic rseau par


protocole ( port tracker ). Vous pouvez afficher les
protocoles actuellement exploits (now) ou tous ceux vus
depuis 24 heures (24 hours).

Document dexploitation ALCASAR 3.1.1 19/38


Il est aussi possible dutiliser le plugin SURFmap
afin de visualiser les flux sur une carte du globe. Votre
navigateur doit tre connect Internet pour
rcuprer le fond de carte !!!
Tous les types de flux sont ici reprsents (pas
uniquement les flux WEB).
Longlet Menu vous permet daffiner vos
recherches : par priode, nombre de flux ou adresse IP.
Attention : Plus le nombre de flow (flux) est
important, plus le traitement sera long.
La case Auto-refresh vous permet dactualiser
laffichage toutes les 5 minutes.

5.5. Rapport de scurit


Cette page affiche trois informations de scurit releves par ALCASAR, savoir :
La liste des utilisateurs dconnects suite une dtection dusurpation de ladresse MAC de leur
quipement ;
La liste des malwares intercepts par lantivirus intgr ;
La liste des adresses IP ayant t bannies pendant 5 par le dtecteur dintrusion. Les raisons dun
bannissement sont : 3 checs successifs de connexion en SSH - 5 checs successifs de connexion sur lACC 5
checs successifs de connexion utilisateur 5 tentatives de changement de mot de passe en moins dune minute.

Usagers dconnects suite une dtection d'usurpation


d'adresse MAC

Malwares bloqus
- fichiers de test EICAR
- chevaux de Troie
- virus

Adresses IP bloques par lIDS

Document dexploitation ALCASAR 3.1.1 20/38


6. Sauvegarde

6.1. Archives - Journaux de traabilit


La premire colonne de ce menu prsente la liste des fichiers de traces
dactivit hebdomadaire. Pour les exporter sur un autre support, effectuez
un clic droit sur le nom du fichier, puis enregistrer la cible sous .
Ces fichiers sont gnrs automatiquement une fois par semaine (dans le
rpertoire /var/Save/archive/ du portail). Les fichiers de plus dun an sont
supprims.
Vous pouvez gnrer le fichier des traces
dactivit de la semaine courante via le menu.

6.2. Archives - Base des utilisateurs


La deuxime colonne prsente les fichiers compresss au format
SQL constituant la base des utilisateurs
Ils sont gnrs tout moment via le menu.
Ces fichiers peuvent tre rinjects/imports
dans nimporte quel ALCASAR (cf. 3.6.a). Cela est surtout utile lors dune rinstallation ou dune mise jour
majeure (cf. 8.4).

6.3. Archives - Rapports dactivit hebdomadaire


La troisime colonne prsente les rapports dactivit hebdomadaire
gnrs tous les lundis matin au format PDF .

6.4. Journaux dimputabilit


En cas denqute judiciaire, ce menu vous permet de gnrer un document PDF dcrivant toutes les traces de
connexion de tous les utilisateurs pour une priode dfinie. Ce document est compress dans une archive. Cette
archive est protge par un mot de passe que vous devez dfinir (chiffrement AES256). Sous Windows, utilisez
le logiciel libre 7-zip pour exploiter cette archive. Sous Linux, exploitez le logiciel p7zip .
Afin de prvenir les abus, tous les utilisateurs dALCASAR seront avertis lors de leur prochaine
connexion quun tel document a t gnr.
La gnration de ce document peut prendre plus de 5 minutes (soyez TRS patient et ne changez pas de
page dans lACC).

Document dexploitation ALCASAR 3.1.1 21/38


7. Fonctions avances

7.1. Gestion des comptes dadministration


Votre serveur ALCASAR comporte deux comptes systme (ou comptes Linux) qui ont t crs lors de
linstallation du systme dexploitation :
root : cest le compte dadministration du systme ;
sysadmin : ce compte permet de prendre le contrle distance du systme de manire scurise (cf.
suivant).
Paralllement ces deux comptes systme , des comptes de gestion ont t dfinis pour contrler les
fonctions dALCASAR travers le centre de gestion graphique (ALCASAR Control Center - ACC). Ces
comptes de gestion peuvent appartenir aux trois profils suivants :
admin : les comptes lis ce profil peuvent accder toutes les fonctions du centre de gestion. Un
premier compte li ce profil a t cr lors de linstallation du portail (cf. doc dinstallation) ;
manager : les comptes lis ce profil nont accs quaux fonctions de gestion des utilisateurs et des
groupes dutilisateurs(cf. 3) ;
backup : les comptes lis ce profil nont accs quaux fonctions darchivage des fichiers journaux
(cf. prcdent).
Vous pouvez crer autant de comptes de gestion que vous voulez dans chaque profil. Pour grer ces comptes de
gestion, utilisez la commande alcasar-profil.sh en tant que root :
alcasar-profil.sh --list : pour lister tous les comptes de chaque profil
alcasar-profil.sh --add : pour ajouter un compte un profil
alcasar-profil.sh --del : pour supprimer un compte
alcasar-profil.sh --pass : pour changer le mot de passe dun compte existant

7.2. Administration scurise travers Internet


Il est possible dadministrer ALCASAR distance au ALCASAR
moyen dun flux chiffr (protocole SSH - Secure
Rseau de consultation
Shell). Prenons lexemple dun administrateur qui Port 22

cherche administrer, travers Internet, un ALCASAR Box1 Box2


ou des quipements situs sur le rseau de consultation. Port 52222

Dans un premier temps, il faut sassurer que le service


SSH sur ALCASAR est bien activ (menu
systme puis services ). Vous devez aussi
Internet
connatre ladresse IP publique de la Box2.
a) Configuration de la Box
Il est ncessaire de configurer la BOX2 pour quelle laisse passer le protocole SSH vers la carte externe
dALCASAR. Afin danonymiser le flux SSH sur Internet, nous dcidons de ne pas utiliser son numro de
port standard (22), mais un autre (52222 par exemple).
Cas dune livebox
Dans le menu paramtres avancs , crez une entre pour ladresse IP de la carte externe dALCASAR.
Idem dans le menu Gestion des quipements .
Dans le menu DHCP, il faut attribuer une rservation IP votre quipement (cela dpend des box et nest pas
toujours obligatoire pour crer une rgle de PAT).
Dans le menu NAT/PAT , renseignez les champs suivants et sauvegardez la configuration :
Le port externe (52222 dans notre cas) correspond au port sur lequel les trames ssh arriveront. En interne, le
serveur SSH dALCASAR coute sur le port 22 (port par dfaut de ce service).

Document dexploitation ALCASAR 3.1.1 22/38


cas dune freebox
Dans le menu routeur , configurez la
gestion des ports.

b) Administration dALCASAR en mode texte


Vous pouvez vous connecter sur un ALCASAR distant en exploitant le compte Linux sysadmin cr lors de
linstallation du systme. Une fois connect, vous pouvez exploiter les commandes dadministration
dALCASAR dcrites au 11.1. Vous pouvez devenir root via la commande su -.
Sous Linux, installez openssh-client (il est aussi
possible dinstaller putty ) et lancez la commande ssh
-p 52222 sysadmin@w.x.y.z (remplacez w.x.y.z par
ladresse IP publique de la BOX2 et adaptez le
port_externe par le numro de port dcoute de la BOX2 (52222 dans notre exemple). Vous pouvez
ajouter loption -C pour activer la compression.
Sous Windows, installez Putty ou putty-portable ou kitty et crez une nouvelle session :
Adresse IP publique de la BOX2

Port d'coute du flux d'administration sur la BOX2

Type de flux

Nom de la session

Terminez en sauvegardant la session

cliquez sur Open , acceptez la cl du serveur et connectez-vous avec le compte sysadmin .


c) Administration dALCASAR en mode graphique
Lobjectif est maintenant de rediriger le flux du navigateur WEB de la station dadministration, travers un
tunnel SSH, vers la carte rseau interne dALCASAR afin de ladministrer graphiquement. Pour crer ce
tunnel :
Sous Linux, lancez la commande :
ssh -p 52222 -L 10000:@IP_carte_interne_alcasar:443 sysadmin@w.x.y.z
Sous Window, configurez putty de la manire suivante :

- chargez la session prcdente


- slectionner dans la partie gauche Connection/SSH/Tunnels
- dans Source port, entrez le port d'entre local du tunnel
(suprieur 1024 (ici 10000))
- dans Destination, entrez l'adresse IP de la carte interne d'alcasar
suivis du port 443 (ici 192.168.182.1:443)
- cliquez sur Add
- slectionner Session dans la partie gauche
- cliquer sur Save pour sauvegarder vos modification
- cliquer sur Open pour ouvrir le tunnel
- entrer le nom d'utilisateur et son mot de passe

Document dexploitation ALCASAR 3.1.1 23/38


Lancez votre navigateur avec lURL : https://localhost:10000/acc/
(le acc/ en fin dURL est important!)

d) Administration dquipements situs sur le rseau de consultation


En suivant la mme logique, il est possible dadministrer nimporte quel quipement connect sur le rseau de
consultation (points daccs WIFI, commutateurs, annuaires LDAP/A.D., etc.).
Sous Linux, lancez la commande: ssh -p 52222 -L 10000:@IP_quipement:Num_Port sysadmin@w.x.y.z .
@IP_quipement est ladresse IP de lquipement administrer. NUM_PORT est le port
dadministration de cet quipement (22, 80, 443, etc.).
Sous Windows, entrez ladresse IP et le port de lquipement dans le formulaire Destination de
Putty .

Pour administrer via ssh, lancez ssh login@localhost:10000


Pour exploiter une interface WEB, connectez votre navigateur lURL : http(s)://localhost:10000 .

e) Exploitation du tunnel SSH au moyen dune bicl (cl publique/cl prive)


Ce paragraphe, bien que non indispensable, permet daugmenter la scurit du tunnel dadministration travers
lauthentification de ladministrateur par sa cl prive.
gnrez une bicl (cl publique/cl prive)
Sous Windows avec puttygen

- ouvrir PuttyGen
- cocher SSH-2 RSA
- entrer 2048 comme taille de cl
- cliquer sur generate
- Bouger la souris afin de crer de l'ala

Les cls sont maintenant cres.


- Entrez un commentaire reprsentatif dans Key-comment;
- Entrer et confirmez la phrase mot de passe dans Key passphrase;
- Sauvegarder la cl priv en cliquant sur Save private key;
- Slectionnez et copier la cl publique (click droit)

Sous Linux avec ssh-keygen


Dans votre rpertoire personnel, crez le rpertoire .ssh sil nexiste pas. partir de celui-ci, gnrez votre
bicl ( ssh-keygen -t rsa -b 2048 -f id_rsa ). la commande cat id_rsa.pub permet de voir (et de copier) votre cl
publique.

Copiez la cl publique sur le portail distant :


excutez la commande suivante pour copier directement votre cl publique sur le serveur distant :
ssh-copy-id -i .ssh/id_rsa.pub sysadmin@<@IP_interne_consultation>
Entrez votre mot de passe ; votre cl publique est copie dans larchitecture de
sysadmin/.ssh/authorized_keys automatiquement avec les bons droits.
Autre mthode : connectez-vous sur lALCASAR distant via ssh en tant que sysadmin et
excutez les commandes suivantes : mkdir .ssh puis cat > .ssh/authorized_keys ;
copier le contenu de la cl publique provenant du presse-papier ( Ctrl V pour Windows, bouton
central de la souris pour Linux) ;tapez Entre puis Ctrl+D ; protgez le rpertoire : chmod 700

Document dexploitation ALCASAR 3.1.1 24/38


.ssh et le fichier de la cl chmod 600 .ssh/authorized_keys ;vrifiez le fichier : cat
.ssh/authorized_keys , dconnectez-vous exit .
Test de connexion partir de Linux : slogin sysadmin@w.x.y.z
Test de connexion partir de Windows :
chargez la session prcdente de putty ;
dans la partie gauche, slectionnez Connection/SSH/Auth ;
cliquez sur browse pour slectionner le fichier de cl ;
slectionnez dans la partie gauche Session ;
cliquez sur Save puis Open ;
entrez lutilisateur sysadmin ;
la cl est reconnue, il ne reste plus qu entrer la phrase de passe.
Si maintenant vous souhaitez interdire la connexion par mot de passe, configurez le serveur sshd :
passez root (su -) et positionnez les options suivantes du fichier /etc/ssh/sshd_config :
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no
relancez le service sshd ( systemctl restart sshd ) et fermez la session ssh ( exit ).

7.3. Afficher votre logo


Il est possible de mettre en place le logo de votre organisme en cliquant sur le
logo situ en haut et droite de linterface de gestion. Votre logo sera insr
dans la page dauthentification ainsi que dans le bandeau suprieur de
linterface de gestion. Votre logo doit tre au format libre png et il ne doit
pas dpasser la taille de 100Ko. Il est ncessaire de rafrachir la page du navigateur pour voir le rsultat.

7.4. Changement du certificat de scurit


ALCASAR chiffre les changes avec les quipements situs sur le rseau de consultation dans les cas suivants :
pour les utilisateurs : authentification et changement de mots de passe ;
pour les administrateurs : accs au centre de contrle graphique (ACC).
Le chiffrement exploite le protocole TLS associ un certificat serveur et une
autorit de certification locale (A.C.) crs lors de linstallation. Ce certificat a
une dure de vie de 4 ans. La date dexpiration est consultable sur la page de
garde de lACC. En cas dexpiration de ce certificat, vous pouvez en rgnrer un via la commande alcasar-
CA.sh . Il faudra supprimer lancien certificat des navigateurs avant dexploiter le nouveau.

a) Installation dun certificat officiel


Il est possible dinstaller un certificat officiel la place du certificat auto-sign prsent prcdemment.
Lintgration dun tel certificat vite les fentres dalerte de scurit sur les navigateurs nayant pas intgr le
certificat de lautorit de certification dALCASAR (cf. 2.2.b). Vous pouvez rcuprer ce certificat officiel
auprs de prestataires ou de bureaux denregistrement ( registrars ) qui gre les noms de domaine. Suivez les
instructions donnes sur le site du prestataire en sachant que ce certificat devra tre compatible avec un serveur
de type APACHE avec module SSL (cest le serveur WEB utilis dans ALCASAR).
Conseil : vous devez possder un nom de domaine (ex : mydomain.org). Demandez alors un certificat pour le
serveur alcasar.mydomain.org . LACC dALCASAR vous permet dimporter ce certificat (menu
Systme + rseau . Les fichiers ncessaires sont :
La cl prive qui vous a permis de crer la demande de certificat (extension : .key)
Le certificat gnr par votre prestataire (extension : .crt)
Optionnellement : le fichier dfinissant la chane de certification de votre prestataire (extension : .crt).
Quand il est ncessaire, ce fichier est disponible sur le site du prestataire.

Document dexploitation ALCASAR 3.1.1 25/38


Exemple avec le prestataire Gandi.net , le nom de domaine rexy.fr et un certificat pour un serveur
nomm alcasar.rexy.fr :

Une fois import,


vous devez relancer
toutes les machines du
rseau de consultation
(ainsi que la votre).

En cas de problmes, vous pouvez revenir au certificat auto-sign dorigine via lACC ou via la
commande alcasar-importcert.sh -d .

7.5. Utilisation dun serveur dannuaire externe (LDAP ou A.D.)


ALCASAR intgre un module lui permettant dinterroger un serveur dannuaire externe (LDAP ou A.D) situ
indiffremment ct LAN ou WAN.
Lorsque ce module est activ, ALCASAR utilise en premier lieu lannuaire externe puis, en cas dchec, la base
locale pour authentifier un utilisateur.
Dans tous les cas, les fichiers journaux relatifs la traabilit des utilisateurs (log) restent traits dans la base
locale dALCASAR. Linterface graphique de gestion de ce module est la suivante :
Remarque :
les attributs des utilisateurs situs
dans lannuaire externe ne peuvent
pas tre modifis via linterface de
gestion dALCASAR ;
lutilisation du protocole scuris
ldaps nest pas disponible pour
le moment. Le segment rseau entre
ALCASAR et lannuaire doit donc
tre matris, pour des raisons
videntes de scurit (cf. 10) ;
les annuaires externes ne grent pas
la casse des caractres
contrairement la base locale
dALCASAR.

Exemple pour un A.D. : Cette copie dcran montre larborescence


dun annuaire. Il est organis de la manire suivante : les utilisateurs
standards sont placs dans lUnit Organisationnelle (O.U.)
My_lan . Le compte utilis par ALCASAR pour consulter
lannuaire distance porte le nom : alcasar . Ce compte standard
de type Utilisateur na pas besoin de droits particuliers.

DN de la base LDAP : ou=My_lan,dc=ad2012,dc=localdomain.


Cela dfinit lendroit o sont stocks les comptes des utilisateurs.
Identifiant LDAP : sAMAccountName pour un A.D. ; uid en
gnral pour un LDAP.
Filtre de recherche dutilisateurs LDAP : vide sauf si vous souhaitez ne retenir que des utilisateurs particuliers et
explicites.
Utilisateur LDAP : cest le DN du compte utilisateur exploit par ALCASAR pour consulter lannuaire :
cn=alcasar,ou=My_lan,dc=ad2012,dc=localdomain
noter que ce champ ainsi que celui du mot de passe peuvent rester vides si lannuaire est interrogeable en
anonyme.
Mot de passe LDAP : le mot de passe que vous avez dfini pour lutilisateur alcasar .

Il est possible daffecter lensemble des utilisateurs dclars dans un annuaire externe (LDAP ou A.D.) des

Document dexploitation ALCASAR 3.1.1 26/38


attributs propres ALCASAR (bande passante, sessions simultanes, filtrage, etc.).
Pour cela, dans linterface de gestion dALCASAR (menu Authentification/cration dun groupe), dclarez un
groupe nomm ldap (attention bien respecter la casse) pour lequel vous rglez les attributs souhaits.

Il est aussi possible daffecter des attributs propres ALCASAR un compte particulier dclar dans un
annuaire externe. Pour cela, dans linterface de gestion dALCASAR, crez un utilisateur portant le mme
nom/identifiant que celui de lannuaire.
7.6. Intgration dans une architecture complexe (A.D., DHCP externe, LDAP)
ALCASAR peut sintgrer dans une architecture existante comportant un domaine Windows, un serveur DHCP
et un serveur dannuaire LDAP ou A.D. (cf. prcdent) .
a) Gestion du DNS Windows
Dans une architecture A.D. les stations Windows sont lies leur contrleur de domaine. Celles-ci doivent
sadresser la fois au DNS de leur contrleur (le serveur AD) pour les rsolutions propres aux services
Windows et au DNS dALCASAR pour laccs Internet. Une solution consiste configurer le DNS
dALCASAR afin quil redirige vers le contrleur de domaine les requtes le concernant. De cette manire, les
quipements de consultation sont configurs avec ALCASAR comme unique DNS.
Sur ALCASAR, la seule modification effectuer, consiste ajouter la ligne suivante dans le fichier
/usr/local/etc/alcasar-dns-name : ''server=/<your.domain>/<@IP_SRV-AD-DNS>''
Exemple : le domaine brock.net est gr par un serveur A.D./DNS (svr-ad.brock.net) dont ladresse IP est
192.168.182.10. La ligne ajouter est : ''server=/brock.net/192.168.182.10''.
Relancer le service dnsmasq pour que vos modifications soient appliques ( service dnsmasq restart ).
Rappel : Les stations de consultation (en adressage fixe ou en DHCP) intgres dans un domaine Windows
doivent disposer du suffixe principal li au domaine Windows ainsi que du suffixe '.localdomain'.
b) Utilisation dun serveur DHCP Externe
Lutilisation dun serveur DHCP externe ncessite dune part quALCASAR ne fournisse plus les paramtres
rseau, mais que ces derniers soient fournis par un serveur DHCP rpondant aux besoins imprieux
dALCASAR.

Pour forcer loffre dadresses IP par un serveur DHCP externe, ALCASAR va agir comme agent relais vers
celui-ci. Il faut alors arrter le serveur DHCP dALCASAR (via linterface de gestion/Systme/Rseau : Mode
Sans DHCP) et renseigner les variables pour grer le serveur externe (fichier de configuration
/usr/local/etc/alcasar.conf) :
EXT_DHCP_IP=<@IP_srv_externe>
RELAY_DHCP_IP=<@IP_interne_ALCASAR>
RELAY_DHCP_PORT=<port de relais vers le serveur DHCP externe> : (par dfaut 67).

Le serveur DHCP externe doit tre configur pour fournir aux stations :
une plage d@IP correspondant la plage autorise par ALCASAR (par dfaut 192.168.182.3-254/24) ;
Attention : depuis la version 2.7, le portail rserve ladresse suivante celle sa patte interne :
192.168.182.1 ---> l@IP 192.168.182.2 est galement rserve pour le portail, mais non visible ;
une adresse de passerelle correspondant ladresse IP interne dALCASAR (par dfaut 192.168.182.1) ;
le suffixe DNS localdomain ;
l@IP du serveur DNS --> ladresse IP interne dALCASAR (par dfaut 192.168.182.1) ;
l@IP du serveur de temps (NTP) --> ladresse IP interne dALCASAR (par dfaut 192.168.182.1) ou
celle du contrleur de domaine (pour viter les drives temporelles, veiller dailleurs positionner la
mise lheure automatique de celui-ci sur un serveur identifi de lInternet ou plus simplement sur le
portail ALCASAR).

Document dexploitation ALCASAR 3.1.1 27/38


7.7. Chiffrement des fichiers journaux
ALCASAR peut chiffrer automatiquement les fichiers darchive hebdomadaires (cf. 6.1). Pour cela, il exploite
lalgorithme asymtrique GPG (cl publique + cl prive).
En fournissant la cl prive un responsable de votre organisme pour squestre (le RSSI par exemple), vous
protgez vos administrateurs daccusations de modification de ces fichiers journaux.
En cas denqute, il suffit de fournir les fichiers archives chiffrs ainsi que la cl prive de dchiffrement.
La procdure pour activer ce chiffrement est la suivante :

Messages affichs lcran Commentaires Actions raliser

Connectez-vous en tant que root .


Lancez le gnrateur dentropie rngd -r /dev/urandom
(dala).

Gnrez la bicl (cl publique + cl gpg --gen-key


prive).
Choisissez lalgorithme, la taille ainsi
que la longvit des cls (sans
expiration). info : le nom dutilisateur ne doit pas comporter
Choisissez un nom dutilisateur et une despace. Ce nom est repris sous le terme
phrase de passe. <nom_utilisateur> dans la suite de cette procdure.

Arrtez le gnrateur dentropie. killall rngd

Exportez la cl prive. Copiez l sur un gpg --armor export-secret-key \


support externe. <nom_utilisateur> > alcasar_key.priv
Fournissez-la (avec la phrase passe et
le <nom_utilisateur>) un responsable
de votre organisme (pour squestre). info : cf. doc dinstallation pour la gestion USB.

Supprimez le fichier gnr rm -f alcasar_key.priv


prcdemment.
Supprimez la cl prive du trousseau gpg --delete-secret-key
GPG. <nom_utilisateur>

Activer le chiffrement en modifiant les


variables CRYPT 1.et vi /usr/local/bin/alcasar-archive.sh
GPG_USER du fichier info : affectez le nom_utilisateur la variable
gpg_user
/usr/local/bin/alcasar-archive.sh .

Infos :
ALCASAR utilise le trousseau de cls de root situ dans le rpertoire /root/.gnupg ;
'gpg list-key' : permets de lister toutes les bicls contenues dans ce trousseau ;
'gpg --delete-key <nom_utilisateur>' : efface une cl publique du trousseau de cls ;
'gpg --delete-secret-key <nom_utilisateur>' : efface une cl prive du trousseau de cls ;
Vous pouvez copier le rpertoire /root/.gnupg sur un autre serveur ALCASAR. Ainsi, vous pourrez
utiliser le mme <nom_utilisateur> et les mmes cls ;
Pour dchiffrer une archive chiffre : 'gpg decrypt -files <nom_archive_chiffre>'.

Document dexploitation ALCASAR 3.1.1 28/38


7.8. Gestion de plusieurs passerelles Internet (load balancing)
ALCASAR dispose dun script permettant de rpartir les connexions sur plusieurs passerelles daccs
lInternet alcasar-load_balancing.sh start | stop | status.
Les paramtres ne sont pas intgrs dans linterface de gestion ; il est ncessaire de modifier le fichier global de
configuration alcasar.conf qui se trouve sous /usr/local/etc..
Les paramtres associs (cartes rseaux virtuelles, poids, @ip passerelle, etc.) sont dfinir sous le format
suivant : WANx=active[1|0],@IPx/mask,Gwx,Weight,MTUx. Les interfaces sont cres la vole par le
script alcasar-load_balancing.sh qui est appel au dmarrage du serveur.
Pour tre actif, le paramtre MULTIWAN doit comporter la valeur on ou On ; sinon le positionner Off
pour conserver le mode passerelle unique.
La frquence du test de connectivit est positionne par dfaut 30sec.
noter quune valeur du paramtre FAILOVER=0 indique un mode MULTIWAN sans test de connectivit
des passerelles. Dans ce dernier cas, les tests de connectivits ne sont pas effectus et ne permettront pas de
dtecter une dfaillance dune passerelle.

7.9. Crer son PC ddi ALCASAR


Ce chapitre prsente un exemple de ralisation dun PC ddi (appliance) ALCASAR conomique dont les
contraintes sont : faible cot, faible consommation dnergie, faible bruit et format miniature (mini-itx).
La configuration peut tre est la suivante :
botier mini-itx (alimentation 12V) ;
carte mre avec deux cartes rseau et processeur Intel-Clron intgr :
Gigabyte N3150N-D3V ou C1037UN
4GO ou 8Go de mmoire DDR3 ;
disque dur 2,5' sata 200Go.
Disque SSD

4G de mmoire DDR3

Le cot de cette configuration avoisine les


250 TTC (frais de port compris).
La consommation ne dpasse pas 30W ; le cot li la consommation lectrique annuelle est de 35
(30 24 365 / 1000 0,1329).
ALCASAR est install au moyen dune cl USB selon la procdure habituelle.
Une fois dploy, le PC ne ncessite ni clavier, ni souris, ni cran.
Autre possibilits : boitiers Qotom

7.10. Contournement du portail (By-pass)


Pour des raisons de maintenance ou durgence, une procdure de contournement du portail a t cre.
Elle permet de supprimer lauthentification des utilisateurs ainsi que le filtrage.
La journalisation de lactivit du rseau reste nanmoins active.
Toutefois, limputabilit des connexions nest plus assure.

Pour lancer le contournement du portail, lancez le script alcasar-bypass.sh --on .


Pour le supprimer, lancez le script alcasar-bypass.sh --off .

Il est noter que le mode bypass nest plus actif au redmarrage du serveur.

Document dexploitation ALCASAR 3.1.1 29/38


8. Arrt, redmarrage, mises jour et rinstallation

8.1. Arrt et redmarrage du systme


Trois possibilits permettent darrter ou de redmarrer proprement le systme :
Via linterface de gestion graphique
en appuyant brivement sur le bouton dalimentation de lquipement ;
en se connectant sur la console en tant que root et en lanant la commande systemctl poweroff .
Lors du redmarrage du portail ALCASAR, une procdure supprime toutes les connexions qui nauraient pas
t fermes suite un arrt non dsir (panne matrielle, coupure lectrique, etc.).
8.2. Mises jour du systme dexploitation
Mageia-Linux propose un excellent mcanisme permettant dappliquer les correctifs de scurit (patchs) sur le
systme et ses composants. ALCASAR a t dvelopp afin dtre entirement compatible avec ce mcanisme.
Ainsi, tous les soirs 3h30, les mises jour de scurit sont rcupres, authentifies et appliques le cas
chant. Il vous est bien sr possible de lancer manuellement cette mise jour par la commande urpmi auto
--auto-update en tant que root .
Une fois la mise jour termine, un message peut vous avertir quun redmarrage systme est ncessaire. Ce
message napparat que si un nouveau noyau (kernel) ou une bibliothque majeure ont t mis jour.
8.3. Mise jour mineure dALCASAR
Vous pouvez savoir si une mise jour dALCASAR est disponible en regardant le site WEB ou la page de
garde de votre interface de gestion ou en lanant la commande alcasar-version.sh . Rcuprez et dcompressez
larchive de la dernire version comme lors dune installation normale. Au lancement du script dinstallation
( sh alcasar.sh --install ), ce dernier dtectera automatiquement lancienne version et vous demandera si vous
voulez effectuer une mise jour automatique.
Seules les mises jour mineures sont possibles de cette manire. Dans le cas contraire, le script vous proposera
de faire une rinstallation.
Lors dune mise jour mineure, les donnes suivantes sont reprises :
la configuration rseau ;
le nom et le logo de lorganisme ;
les identifiants et les mots de passe des comptes dadministration du portail ;
la base des utilisateurs et des groupes ;
les listes noires principales et secondaires ;
la liste des sites et des adresses MAC de confiance ;
la configuration du filtrage rseau ;
les certificats de lAutorit de Certification (A.C.) et du serveur.
8.4. Mise jour majeure ou rinstallation dALCASAR
Via lACC, crer une sauvegarde de la base actuelle des utilisateurs (cf. 6.2). Copiez ce fichier de sauvegarde
sur un autre systme.
Installez le nouveau systme dexploitation et la nouvelle version dALCASAR comme lors dune premire
installation.
Via lACC, importez lancienne base des utilisateurs (cf. 3.6a)

Document dexploitation ALCASAR 3.1.1 30/38


9. Diagnostics
Ce chapitre prsente diverses procdures de diagnostic en fonction des situations ou des interrogations
rencontres. Les commandes (italique sur fond jaune) sont lances dans une console en tant que root .
9.1. Connectivit rseau
Rcuprez les informations rseau dans le fichier /usr/local/etc/alcasar.conf .
Test de ltat des cartes rseau : lancez la commande ip link pour connaitre le nom de vos deux cartes
rseau. Dans la suite de ce document, INTIF remplacera le nom de la carte rseau interne (connecte au
rseau de consultation). EXTIF est le nom de la carte rseau externe (connecte la Box). Lancez les
commandes ethtool INTIF et ethtool EXTIF afin de vrifier ltat des deux cartes rseau (champs Link
detected et Speed par exemple) ;
test de connexion vers le routeur de sortie : lancez la commande route -n pour afficher l@IP du routeur
de sortie (Box F.A.I). Lancez un ping vers cette @IP . En cas dchec, vrifiez les cbles rseau et ltat
du routeur ;
test de connexion vers les serveurs DNS externes : lancez un ping vers les @IP des serveurs DNS.
En cas dchec, changez de serveurs ;
test du serveur DNS interne (dnsmasq) : lancez une demande de rsolution de nom (ex. : nslookup
www.google.fr). En cas dchec, vrifiez ltat du service dnsmasq . Vous pouvez relancer ce service via la
commande systemctl restart dnsmasq ;
test de connectivit Internet : lancer la commande wget www.google.fr . En cas de russite la page de garde
de Google est tlcharge et stocke localement (index.html). Le menu systme/service de linterface de
gestion rend compte de ce test ;
test de connectivit vers un quipement de consultation : vous pouvez tester la prsence dun quipement
situ sur le rseau de consultation via la commande arping -I INTIF @ip_quipement .
Vous pouvez afficher lensemble des quipements situs sur le rseau de consultation en installant le paquetage
arp-scan ( urpmi arp-scan et en lanant la commande arp-scan -I INTIF --localnet ;
00:1C:25:CB:BA:7B 192.168.182.1
00:11:25:B5:FC:41 192.168.182.25
00:15:77:A2:6D:E9 192.168.182.129

9.2. Espace disque disponible


Si lespace disque disponible nest plus suffisant, certains
modules peuvent ne plus fonctionner. Vous pouvez vrifier
lespace disque disponible (surtout la partition /var) :
en mode graphique, via la page daccueil du centre de gestion
en mode texte, via la commande df
En cas de diminution trop importante de cet espace, supprimez les anciens fichiers journaux aprs les avoir
archivs (rpertoire /var/Save/*). Un reboot sera probablement ncessaire pour rinitialiser tous les services.
9.3. Services serveur ALCASAR
Afin de remplir ces diffrentes tches, ALCASAR exploite plusieurs services serveur.
Ltat de fonctionnement de ces services est affich dans linterface de gestion (menu systme/services ).
Vous pouvez les arrter ou les relancer via cette interface.

Si lun de ces services narrive pas tre relanc, il vous est possible de tenter de diagnostiquer la raison de ce
dysfonctionnement. Connectez-vous en mode console sur le serveur ALCASAR (directement ou via SSH).
Vous pouvez contrler les services par la commande systemctl start/stop/restart nom_du_service . Visualiser en
mme temps le journal dvnement (journalctl -f) qui affiche ltat du systme.

Document dexploitation ALCASAR 3.1.1 31/38


9.4. Problmes dj rencontrs
Ce chapitre prsente le retour dexprience dorganismes ayant trouv la solution des problmes identifis.
a) Navigation impossible avec certains antivirus
Dsactivez la fonction proxy-web intgre certains antivirus. Dans le cas de Trendmicro, cette fonction
fait appel une liste blanche/noire qui est rcupre sur le serveur backup30.trendmicro.com et qui
analyse/valide chaque requte du navigateur. Pour viter tout inconvnient li cette fonctionnalit
incompatible avec ALCASAR, il suffit darrter le service Proxy Trend service et redmarrer la station.
b) Stations Windows en adressage fixe
Il est ncessaire dajouter le suffixe DNS localdomain (configuration rseau + avanc + rubrique dns ).
c) Navigation impossible alors que lon accde la page du portail (http://alcasar)
Ce phnomne peut apparatre aprs une rinstallation complte du portail ou aprs une mise jour avec
changement du certificat serveur. Les navigateurs prsentent alors les pages suivantes quand ils tentent de
joindre un site Internet :

Sous IE6 Sous IE 7 - 8 et 9 Sous Mozilla

Ce phnomne est d au fait que les navigateurs essaient dauthentifier le portail ALCASAR laide de son
ancien certificat.
Sur les navigateurs, il faut donc supprimer lancien certificat dALCASAR ( outils + options Internet ,
onglet contenu , bouton certificats , onglet autorits de certification racine et certificat serveur ).
d) Navigation impossible aprs avoir renseign la rubrique sites de confiance
ALCASAR vrifie la validit des noms de domaine renseigns dans cette rubrique (cf. 4.7.a). Si un nom de
domaine nest pas valide, le service chilli ne peut plus se lancer. Modifiez alors le nom de domaine posant un
problme et relancez le service chilli via la commande service chilli restart .
e) Surcharge mmoire et systme
Le systme Linux essaie toujours dexploiter le maximum de mmoire vive. Sur la page daccueil du centre de
gestion, le bargraph indiquant lutilisation de la mmoire physique peut ainsi rgulirement se trouver au-del
de 80% et apparatre en rouge. Cela est normal.
Si le systme a besoin de mmoire supplmentaire, il exploitera le swap. Ce swap est une zone du disque dur
exploite comme mmoire vive (mais 1000 fois plus lente). Si vous vous apercevez que le systme utilise cette
zone de swap (> 1%), vous pouvez envisager daugmenter la mmoire vive afin damliorer grandement la
ractivit du systme surtout quand le module de filtrage de domaines et dURL est activ.
Vous pouvez visualiser la charge du systme sur la page daccueil du centre de gestion dans la partie
Systme/Charge systme ou en mode console laide de la commande top ou uptime :
les 3 valeurs affiches reprsentent la charge moyenne du systme pendant la dernire, les 5 dernires et
les 15 dernires minutes. Cette charge moyenne correspond au nombre de processus en attente
dutilisation du processeur. Ces valeurs sont normalement infrieures 1 ;
Une valeur suprieure 1.00 traduit un sous-dimensionnement du serveur surtout si elle se rpercute
sur les 3 valeurs (charge inscrite dans la dure) ;
Chercher le processus qui monopolise un grand pourcentage de la charge (commande top ).

Document dexploitation ALCASAR 3.1.1 32/38


9.5. Optimisation du serveur
Dans le cas de rseaux importants, des lenteurs daccs Internet peuvent tre constates alors que le systme
ne semble pas tre surcharg (cf. page principale de lACC : load average < 1, pas ou peu dutilisation de la
zone de swap, processeur exploit normalement, etc.).
Vrifiez alors que votre bande passante daccs Internet est compatible avec le nombre dutilisateurs
connects simultanment (dbit par utilisateur = dbit global / nombre dutilisateurs connects).
Ces lenteurs peuvent surtout apparatre quand les attributs de filtrage sont activs (blacklist / whitelist).
En fonction des capacits physiques du serveur, il est possible de tenter doptimiser certains paramtres.
Plusieurs dentre eux ont dj t augments dans la version 2.9.2 dALCASAR, mais ils peuvent tre ajusts
pour coller au mieux votre architecture. Il sera bon de tester sur une courte priode la validit des paramtres
avant de les valider.
Les services sur lesquels il est possible dagir sont :
Linstance de dnsmasq-blacklist en augmentant la taille de la mmoire tampon (256Mo par dfaut).
Pour laugmenter 2048Mo ajoutez la valeur cachesize 2048 dans /etc/dnsmasq-blacklist.conf.
Le service dansguardian dont la limite du nombre de processus fils peut tre rapidement atteinte.
Dans le fichier /etc/dansguardian/dansguardian.conf , vous pouvez affecter les valeurs suivantes :
Maxchildren = 500
Minchildren = 30
Minsparechildren = 24
Preforkchildren = 10
Maxsparechildren = 256
maxagechildren = 10000
Le service antivirus havp qui est en relation directe avec le service Dansguardian. Dans le fichier
/etc/havp/havp.config , vous pouvez affecter la valeur suivante : SERVERNUMBER 30

Pour prendre en compte les modifications, relancer les services :


systemctl restart dnsmasq-blacklist
systemctl restart dansguardian
systemctl restart havp

Sur la page principale de lACC, vrifier que le paramtre load Average naugmente pas outre mesure ;
sinon, redescendre un paramtre la fois.

Document dexploitation ALCASAR 3.1.1 33/38


10. Scurisation
Sur le rseau de consultation, ALCASAR constitue le moyen de contrle des accs Internet. Il permet aussi de
protger le rseau vis--vis de lextrieur ou vis--vis dusurpation interne. cet effet, il intgre :
une protection contre le vol didentifiants. Les flux dauthentification entre les quipements des utilisateurs
et ALCASAR sont chiffrs. Les mots de passe sont stocks chiffrs dans la base des utilisateurs ;
une protection contre les oublis de dconnexion. Les utilisateurs dont lquipement de consultation ne
rpond plus depuis 6 minutes sont automatiquement dconnects. De plus, lattribut dure limite dune
session (cf. 3.1) permet de dconnecter automatiquement un utilisateur aprs un temps dfini ;
une protection contre le vol de session par usurpation des paramtres rseau. Cette technique dusurpation
exploite les faiblesses des protocoles Ethernet et WIFI. Afin de diminuer ce risque, ALCASAR intgre
un processus dautoprotection lanc toutes les 3 minutes (alcasar-watchdog.sh) ;
une protection du chargeur de dmarrage du portail (GRUB) par mot de passe. Ce mot de passe est stock
dans le fichier /root/ALCASAR-passwords.txt ;
une protection antivirale au moyen dun antimalware agissant sur le flux WEB (HTTP) des utilisateurs
ayant lattribut activ ;
plusieurs systmes de filtrage et danti-contournement : proxy DNS, parefeu dynamique, listes noires
(blacklists) volutives (adresse IP, noms de domaine et URL), liste blanche (whitelists) paramtrable.
La seule prsence dALCASAR ne garantit pas la scurit absolue contre toutes les menaces informatiques et
notamment la menace interne (pirate situ sur le rseau de consultation).
Dans la majorit des cas, cette menace reste trs faible. Sans faire preuve de paranoa et si votre besoin en
scurit est lev, les mesures suivantes permettent damliorer la scurit globale de votre systme :
10.1. Du serveur ALCASAR
Choisissez un mot de passe root robuste (vous pouvez le changer en lanant la commande
passwd ) ;
protgez le serveur ALCASAR et lquipement du FAI afin dviter laccs, le vol ou la mise en
place dun quipement entre ALCASAR et la box du FAI (locaux ferms, cadenas, etc.) ;
configurez le BIOS afin que seul le disque dur interne soit amorable. Dfinissez un mot de passe
daccs la configuration du BIOS.
10.2. Du rseau de consultation

a) Rseaux ouverts
Sur les stations de consultation :
Sur des stations de consultation en accs libre, il peut tre intressant de
vous appuyer sur des produits garantissant la fois la protection de la vie
prive et la scurisation de la station de consultation (stations de type
cybercaf ). Ces produits permettent de cloisonner lutilisateur dans un
environnement tanche. la fin dune session, lenvironnement de
lutilisateur est compltement nettoy.
Pour des stations sous Linux, vous pouvez installer le produit
xguest . Il est fourni nativement dans le cas des distributions Mandriva, Mageia, Fedora, RedHat ou
CENTOS ;
Pour les stations sous Windows, vous pouvez choisir un des projets non gratuits suivants : Openkiosk,
DeepFreeze, Smartshield and reboot restore RX. Ils sauvegardent le systme et le restaurent aprs
un reboot . Microsoft fournissait pour XP et Vista le produit Steady State qui nest plus soutenu
aujourdhui.
Sur les points daccs WIFI (A.P.) :
activez le chiffrement WPA2 personnel . Cela permet dviter
lcoute du trafic WIFI par un utilisateur (mme si la cl est la
mme pour tout le monde). Vous pouvez choisir une cl WPA2
trs simple comme votre nom dorganisme par exemple.
Activez loption client isolation . Cela empche quun
utilisateur puisse poindre lquipement dun autre. Ils ne peuvent

Document dexploitation ALCASAR 3.1.1 34/38


que se connecter Internet via ALCASAR.
Sur les commutateurs Ethernet (switch) :
activez la fonction DHCP snooping sur le port exploit par ALCASAR ainsi que sur les ports
interswitch. Cela permettra dviter les faux serveurs DHCP (Fake DHCP servers).
b) Rseaux matriss
Sur ces rseaux, les postes doivent tre protgs par des mesures garantissant leurs intgrits physiques. Laccs
physique au rseau de consultation doit tre scuris par les mesures suivantes :
dconnectez (dbrassez) les prises rseau inutilises ;
sur les points daccs WIFI :
camouflez le nom du rseau (SSID)
activez le chiffrement WPA2 personnel avec une cl robuste ;
sur les commutateurs Ethernet :
Activez le verrouillage par port (fonction Port Security ) afin dassocier les adresses MAC des
quipements aux ports physiques des commutateurs ;
activez la fonction DHCP snooping sur le port exploit par ALCASAR ainsi que sur les ports
interswitch. Cela permettra dviter les faux serveurs DHCP (Fake DHCP servers).
Les quipements de consultation peuvent (doivent) intgrer plusieurs autres lments de scurit tels que le
verrouillage de la configuration du BIOS et du bureau, un antivirus, la mise jour automatique de rustines de
scurit (patch), etc. Afin de faciliter le tlchargement des rustines de scurit ou la mise jour des antivirus,
ALCASAR peut autoriser les quipements du rseau de consultation se connecter automatiquement et sans
authentification pralable sur des sites spcialement identifis (cf. 4.7.a).

Sensibilisez les utilisateurs afin :


quils changent leur mot de passe
quils ne divulguent pas leurs identifiants (ils sont responsables des sessions dun ami qui ils les auraient
fournis).

Document dexploitation ALCASAR 3.1.1 35/38


11. Annexes

11.1. Commandes et fichiers utiles


Ladministration dALCASAR est directement exploitable dans un terminal par ligne de commande (en tant
que root). Ces commandes commencent toutes par alcasar-... . Toutes ces commandes (scripts shell) sont
situes dans les rpertoires /usr/local/bin/ et /usr/local/sbin/ . Certaines dentre elles sappuient sur le fichier
central de configuration dALCASAR ( /usr/local/etc/alcasar.conf ). Avec largument -h , chaque commande
fournit la liste des options quelle possde.
Alcasar-archive.sh
[-l|--live] : cre un fichier archive (nomm traceability) des log utilisateurs et de la base de donnes utilisateurs
[-n|--now] : cre un fichier archive de la dernire semaine (nomm traceability) des log utilisateurs et de la base de donnes
utilisateurs (lanc par cron tous les lundi 5:35);
[-c|--clean] : remove archive files older than one year.alcasar-bl.sh {-on/-off} : active/dsactive le filtrage de domaines et
dURL ;
alcasar-bl.sh
[-download|--download] : tlcharge la dernire version de la BlackList de Toulouse ;
[-adapt|--adapt] : adapte la BL fraichement tlcharge larchitecture dALCASAR ;
[-reload|--reload] : active la liste venant dtre frachement adapte.
[-cat_choice|--cat_choice]: applique les modifications ralises par ACC (modification des catgories, etc.).
alcasar-bypass.sh [-on/-off] : active/dsactive le mode BYPASS ;
alcasar-CA.sh : cre une autorit de certification locale et un certificat serveur pour lhte alcasar.localdomain . Ncessite de
relancer le serveur WEB Apache (systemctl restart httpd) ;
alcasar-conf
[-create|--create]: cre le fichier archiv dALCASAR (/tmp/alcasar-conf.tgz) utilis lors dune mise jour du systme;
[-load|--load]: charge un fichier archive (sans appliquer les modifications);
[-apply|--apply] : applique les paramtres du fichier de configuration (/usr/local/etc/alcasar.conf).
alcasar-daemon.sh : Vrifie ltat des principaux services (17 dans la V2.9.2). Les relance le cas chant. Lanc par cron
toutes les 18.
alcasar-dhcp.sh [-on|--on][-off|--off] : active/dsactive le service DHCP.
alcasar-file-clean.sh : nettoie diffrents fichiers de conf (tri, retrai des lignes vide, etc.).
alcasar-https.sh [-on|--on][-off|--off] : active/dsactive le chiffrement des flux dauthentification ;
alcasar-importcert.sh
[-i certificate.crt -k keyfile.key (-c certificate_chain.crt)] : import dun certificat de scurit officiel;
[-d] : retour au certificat auto-sign dorigine.
alcasar-iptables.sh : applique les rgles de parefeu.
alcasar-load-balancing.sh : script permettant dagrger plusieurs accs internet distincts. Pour fonctionner, le fichier
/usr/local/etc/alcasar.conf doit tre paramtr afin de prendre en compte les adresses, le nombre, le poids et le MTU des
passerelles (box) disponibles. Ce script est lanc automatiquement au dmarrage du serveur, mais nest actif que si le paramtre
MULTIWAN est paramtr dans /usr/local/etc/alcasar.conf . Pour en vrifier le bon fonctionnement, lancez la commande :
ip route. Les options sont start , stop et status .
alcasar-logout.sh
[username] : dconnecte lutilisateur <username> de toutes ses sessions ;
[all] : dconnecte tous les utilisateurs connects ;
alcasar-mysql.sh
[-i file.sql | --import file.sql] : importe une base dutilisateurs (crase lexistante) ;
[-r|--raz] : remise zro de la base des utilisateurs ;
[-d|--dump] : cre une archive de la base dutilisateurs actuelle dans /var/Save/base ;
[-a|--acct_stop] : stop les sessions de comptabilit ouvertes ;
[-c|--check]: vrifie lintgrit de la base et tente de rparer le cas chant.
alcasar-nf.sh [-on|--on][-off|--off] : active/dsactive le filtrage de protocoles rseau ;
alcasar-profil.sh
[--list
alcasar-rpm-download.sh : rcupre et cre une archive de tous les RPM ncessaires linstallation dALCASAR.
alcasar-sms.sh : Gre le service gammu quand un adaptateur 2G/3G est dtect
alcasar-ticket-clean : supprime les tickets pdf (vouchers) gnrs la cration dun utilisateur (lanc par cron toutes les
30)
alcasar-uninstall : supprime ALCASAR (utilis lors dune mise jour).
alcasar-url_filter.sh
[-safesearch_on|-safesearch_off] : active/dsactive le filtrage du rsultat des moteurs de recherche (Google, Bing, etc.);
[-pureip_on|-pureip_off]: active/dsactive le filtrage des URL contenant une adresse IP (au lieu dun nom de domaine).
alcasar-urpmi.sh : installe et met jour les RPM exploits par ALCASAR (utilis pendant la phase dinstallation).

Document dexploitation ALCASAR 3.1.1 36/38


alcasar-version.sh : affiche la version actuelle dALCASAR et celle disponible sur Internet.
alcasar-watchdog : teste la connectivit Internet. Teste lusurpation MAC sur le LAN de consultation (lanc par cron toutes les
3).

11.2. Exceptions dauthentification utiles


Ce chapitre prsente des exceptions dauthentification permettant aux quipements de consultation daccder
aux services suivants sans quun utilisateur soit authentifi :
activation des licences,
test de connectivit Internet,
mise jour systme Windows,
mise jour des antivirus TrendMicro et clamav ,
test de version des navigateurs Mozilla et des modules associs,
etc.
Ces exceptions lauthentification (sites de confiance) sont configurables via linterface de gestion (cf. 3.8.a)

microsoft.com, msftncsi.com et windowsupdate.com


trendmicro.de et trendmicro.com
update.nai.com, akamaiedge.net et akamaitechnologies.com
clamav.net"

Document dexploitation ALCASAR 3.1.1 37/38


11.3. Fiche utilisateur

Un contrle daccs Internet a t mis en place au


moyen dun portail ALCASAR. Lancez votre
navigateur et tentez de vous connecter de prfrence
sur un site non chiffr (en HTTP). La fentre
suivante vous est prsente.
Il vous est possible douvrir une session Internet, de
changer votre mot de passe ou dintgrer le
certificat de scurit dALCASAR dans votre
navigateur.
Vous pouvez retrouver cette page en entrant
http://alcasar.localdomain dans lURL de votre
navigateur.

Pour ouvrir une session Internet, vous devrez vous authentifier via la page
suivante. La casse est prise en compte ( dupont et Dupont sont deux
utilisateurs diffrents).

Quand lauthentification a russi, longlet suivant est prsent. Il


permet de vous dconnecter du portail (fermeture de la session). Cette
fentre fournit les informations relatives aux droits accords votre
compte (expirations, limites de tlchargement, liste des dernires
connexions, etc.).
Si vous fermez cet onglet, vous serez dconnect automatiquement.
Vous pouvez aussi vous dconnecter en entrant lURL http://logout
dans votre navigateur.

Le portail possde un systme anti-malware et un dispositif de filtrage des sites. Il possde aussi un systme de
dtection de problme sur laccs Internet (panne matrielle ou rseau du prestataire Internet dfectueux).
Les pages suivantes peuvent alors tre affiches :

Document dexploitation ALCASAR 3.1.1 38/38