Vous êtes sur la page 1sur 94

Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Introduction générale
L’informatique a été depuis plusieurs décennie utilisé pour faciliter les taches souvent difficile
pour les humaines. Dans les entreprise, son utilisation est devenue indispensable non seulement
pour son bon déroulement de ses activités mais aussi pour rester en contact avec ses partenaires
distants. Ainsi naquit internet qui a fini par s’intégré à tous les domaines cependant Tout
ordinateur connecté à l’internet est potentiellement vulnérable à une attaque. Une attaque est
l'exploitation d'une faille d'un système informatique à des fins non connues par l'exploitant du
système et généralement préjudiciables.
Sur internet des attaques ont lieu en permanence, à raison de plusieurs attaques par minute sur
chaque machine connectée. Afin de contrer ces attaques il est indispensable de sécuriser son
accès internet avec des dispositions préventives.
Ainsi, il est nécessaire de mettre en place des systèmes d'authentification sur ces réseaux qui
doivent cumuler de multiples avantages. Ces avantages sont entre autres : une compatibilité
avec la majorité des appareils mobiles du marché, une sécurité des échanges entre les clients et il
reste du réseau, une plus grande transparence offerte à l'utilisateur aussi bien lors de la phase
d'authentification que lors de l'utilisation du réseau, une réduction de l'impact au niveau des
ressources matérielles et de la bande passante, etc.
Face à ces enjeux, le portail captif s'est imposé comme une solution fréquemment utilisée
dans les points d'accès payants ou non. Il peut se généraliser à tous les modes d'accès (sans-fil ou
filaire) nécessitant un contrôle d'accès.
L’hôtel PALMCLUB dispose d'un réseau informatique dont la gestion se complique avec la diversité
et le nombre croissant des utilisateurs d'où la nécessité de mettre en place un portail captif. C’est
dans ce cadre que le thème : « Étude et implémentation d'une solution de sécurité d'accès
internet par portail captif : cas de l’Hôtel PALMCLUB » nous a été confié.

Ce document synthétise nos travaux menés dans ce cadre et est organisé en trois (3) parties.
La première partie intitulée : Approche méthodologique de ce document présente la structure
d'accueil, le thème d'étude, le contexte dans lequel s'inscrit le stage et l'analyse du système
informatique de la structure d'accueil; ce qui permettra de l'évaluer afin de proposer une solution
bien adaptée. La deuxième partie qui est l’étude technique est consacrée à l'étude générale des
portails captifs, du choix de la solution à implanter ainsi que l’étude technique de l’outil pfsense.
En fin la troisième partie, la partie réalisation détaille l’installation, la mise en œuvre pratique et
technique de l’implémentation du portail captif pfsense et la mise en place de son pare feu ainsi
que le paramétrage de sécurité et test des package de Pfsense.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 1 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

PARTIE I : APPROCHE METHODOLOGIQUE

CHAPITRE I : PRESENTATION DU CADRE


DU STAGE ET DU PROJET

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 2 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

I.1- Structure d’accueil


I.1-1- Organisation
Depuis 30 ans, le Fonds de Prévoyance Militaire (FPM) cherche à améliorer les conditions de vie
de ses adhérents à travers deux produits (militaires, gendarmes et leurs familles) :
- La couverture maladie (MMD)
- L’épargne retraite (EFC), devenue actuellement PERM (Plan Epargne Retraite Mutualiste).
Mais au fil du temps les charges occasionnées par le coût des soins de santé et
l’augmentation du nombre des départs à la retraite nécessitent que le FPM se tourne vers des
investissements plus porteurs et plus rémunérateurs afin d’assurer la pérennité des prestations.
Le FPM a donc fait plusieurs investissements, en notamment l’achat du complexe Palm Club
en 2005 et d’un laboratoire d’analyse médicale (CESAM).

I.1-2- Historique

• Le Palm Club est un réceptif hôtelier situé à Cocody, quartier lycée technique sur un
terrain de 16 000 m2, desservi par le Boulevard Latrille et la rue du Lycée Technique.
• Sa situation géographique stratégique se prête à la réalisation d’un complexe hôtelier de
plus grande capacité et d’un immeuble abritant des bureaux et une galerie marchande.
• Le FPM a diligenté des études architecturales auprès du cabinet CAURIS.
• La rentabilité du projet a été confirmée par un business plan réalisé par le Cabinet
DELOITE.
• La BIAO a accepté de financer le projet par un emprunt de 4.2 milliards en complément
des fonds propres apportés par le FPM.
La SOGETHO (Société Gestion Touristique et Hôtelière), filiale à 100% du FPM est créée en 2009.
• Après un appel d’offres, les travaux ont débuté en février 2010.Ils ont été interrompus en
aout 2010 à cause d’une crise interne au FPM.
• Les travaux n’ont pu reprendre qu'en juin 2011 après la crise électorale.

I.1-3- Montage juridique

• Le FPM bénéficie d’une ouverture de crédit auprès de la BIAO.


• Le FPM propriétaire foncier met à la disposition de la SOGETHO le terrain via un bail à
construction.
• Une convention de compte courant est passée entre le FPM et la SOGETHO qui porte le
projet.
• Le FPM passe, suit l’exécution des marchés et paye les factures pour le compte de la
SOGETHO.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 3 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

• La SOGETHO bénéficie d’un régime d’agrément à l’investissement accordant des


réductions de droits de douane, des exonérations fiscales et la récupération de la TVA sur
le projet.
• Les plus-values dégagées par l’exploitation du complexe serviront à rembourser le
compte courant du FPM.
• Dans un délai de 7 ans, le FPM aura remboursé l’emprunt et sera propriétaire d’un
investissement foncier et immobilier conséquent.

I.1-4- Descriptif de l’hôtel


Le complexe hôtelier comprend:
• Un bâtiment commercial abritant une galerie marchande de treize (13) boutiques au rez
de chaussée et 2400 m2 de bureaux sur deux étages.

• Un hôtel trois etoiles (3*) plus offrant :

 84 chambres et 04 suites sur deux étages

 Une salle de conférence de 200m2

 Une salle de banquet de 175m2

 Un espace réceptions de 200m2

 Un restaurant-grill

 Un coffee shop

 Un lobby bar

 05 boutiques

I.1-5- Mode de gestion


• Le complexe sera géré par :

 AGEMA (Agence immobilière agréée) pour le Bâtiment abritant la galerie marchande et


les bureaux.

 SOGETHO (Société d’Exploitation) pour le complexe hôtelier avec l’appui d’une assistance
technique hôtelière.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 4 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

I.1-6- organigramme

FIGURE I.1.2 ORGANIGRAMME DU PERSONNEL DE LA SOGETHO (HOTEL PALM CLUB)

I.2 - Le Service Informatique


I.2-1-Mission et organisation
Le service informatique de l’hôtel PALMCLUB est dirigé par M. Aimé Kouakou. Il est responsable de la
mise en œuvre des projets, des mises à jour, de l’administration des réseaux, de la maintenance des
systèmes, du choix du matériel informatique ainsi que des composants internes permettant le
fonctionnement du réseau de la structure hôtelière sans interruption.
Le parc informatique comprend près de 50 ordinateurs fixes et 3 serveurs et plus de 100
équipements clients (Pc, tablettes, laptots et smartphone, console de jeux etc..) qui varient en
fonction des jours.

I.3- présentation du thème


Le projet de portail d'accès captif est de créer une passerelle entre un réseau interne et le
réseau Internet. La finalité est de pouvoir déployer la solution dans toutes les structures de
de l’hôtel. Le portail sera doté de fonctionnalités d'authentification qui permettent d'identifier
les usagers du service à des fins de traçabilité. Il sera équipé d'un système de filtrage d'adresses

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 5 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

internet, ce qui permettra ainsi d'éviter l'utilisation des sites indésirables. Un filtrage applicatif
sera également mis en place afin de limiter l'utilisation de certains logiciels.
Le dernier aspect important réside dans l'utilisation optimale de la bande passante, la
sécurisation des connexions et la centralisation des données d'authentification.

I.3.1- Problématique
Le réseau de l’hôtel PALMCLUB, comme n'importe quel autre réseau n'est pas sans faille en
termes de sécurité car ses utilisateurs sont de diverses origines.
En effet, bien que moderne, l'accès au réseau sans fil du PALMCLUB se fait par authentification par
clé de sécurité, et celui au filaire par la détention d'un mot de passe sur les poste fixes. Cela reste
insuffisant quand on sait qu'il existe de nos jours des logiciels qui arrivent à contourner
l'authentification par clé de sécurité. Ce type d'authentification a aussi cette particularité de ne
pas permettre une gestion efficace des utilisateurs car, hormis l'autorisation d'accès au réseau, on
ne saurait qui est réellement connecté, quelle est la cause de la politique d'authentification déjà
existante. En outre, l'authentification par la filaire autorise la connexion des machines externes à
la structure; c'est-à-dire qu'un utilisateur qui venait brancher sa machine personnelle à partir d'un
câble du réseau, pouvait se connecter sans qu'il ne lui soit demandé de s'authentifier. Ce qui n'est
pas sans risque car un utilisateur mal intentionné pourrait contourner facilement l'authentification
d'où une remise en cause de la politique d'accès. Ainsi l'évolution du nombre croissant
d'utilisateurs Wi-Fi et le contrôle d'accès de tous les utilisateurs font apparaître l'impératif de mise
en place d'un système d'authentification transparent et simple d'utilisation d’où la pertinence du
thème qui nous a été confié : « Étude et implémentation d'une solution de sécurité d'accès
internet par portail captif : cas de l’Hôtel PALMCLUB »
. Voilà autant de problèmes auxquels nous avons apporté une solution grâce à cette étude de
portail captif.

I.3.2- objectif
La mission qui nous a été assigné lors de notre stage à l’hôtel PALMCLUB durant ces (4)
quatre mois est d’aider à la sécurisation du réseau existant ainsi que l’accès à internet à travers
l’intégration des outils de sécurité et de surveillance réseau. En sommes

 Gérer les droits d’accès durant et après les heures de travail


 Le trafic des données
 La sauvegarde des données
 La politique de sécurité régissant tous les types d’accès ou réseau
 La surveillance et l’assurance de la fiabilité générale du réseau

I.3.3- Solution envisageable


L'objectif principal de la mission qui nous a été assigné est d'implanter une solution technique
permettant d'authentifier les utilisateurs et de partager de façon sécurisée l'accès Internet, d'où
le déploiement d'une solution pouvant permettre à l’hôtel PALMCLUB de rendre effectif ce qui
suit:

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 6 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

- se doter d'un outil d'authentification libre issu du monde des logiciels libres;
- pour se connecter, les clients n'ont besoin que d'un navigateur Web, d'un login et d'un
mot de passe ;
- les paramètres du compte sont stockés dans une base de données existante et les
comptes déjà existants doivent pouvoir être utilisés;
- toutes les requêtes web des clients doivent être automatiquement redirigées sur la page
d'authentification;
- l'authentification des clients et des administrateurs doit se faire de façon sécurisée;
- le point d'accès doit être totalement transparent pour le client;
- l'accès au web doit être indépendant du système d'exploitation du client;
- de même, les utilisateurs du réseau du l’hôtel PALMCLUB ne doivent pas être pénalisés
pendant le déploiement ;
- le système doit permettre à l'administrateur d'optimiser l'utilisation de la bande
passante; c'est-à-dire que l'administrateur peut par exemple limiter la bande passante au
niveau de chaque utilisateur pour éviter que celle-ci soit surchargée ou il peut même
filtrer des sites indésirables (téléchargements torrents, peer to peer, sites
pornographiques ...).

Conclusion partielle
Nous avons présenté, au niveau de ce premier chapitre, l’entreprise d’accueil ainsi que le
département informatique aussi nous avons pris connaissance des problèmes que rencontre la
société ce qui nous a permis de cerner la problématique de notre projet. Ce qui nous a parmi de
déterminer la solution engageable.
Le chapitre suivant sera consacré à une étude préalable du système informatique existant
qui comprend la description des ressources du système informatique ainsi qu’un diagnostic de
ces forces et failles.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 7 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

CHAPITRE II : ETUDE PREALABLE DU


SYSTEME INFORMATIQUE EXISTANT

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 8 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

II.1- Description des ressources du système informatique


Toute révision, modification ou action visant à apporter des améliorations au système
informatique de l’hôtel PALMCLUB doit passer par une connaissance préalable de l'ensemble des
différents éléments constituant l'architecture de son système informatique existant. L'analyse de
l'existant a pour but à la fois d'évaluer le niveau de performance et de disponibilité de
l'infrastructure réseau, et de déterminer quelles améliorations peuvent être apportées afin de la
rendre plus performante tout en facilitant sa gestion.

II.1.1- les ressources matérielles


L’hôtel PALMCLUB dispose de plusieurs matériels informatiques, présentés comme le
montre le tableau II.1 :

TABLEAU II.1 : liste des postes de travail et leurs caractéristiques

Matériels Nombre Caractéristiques


Ordinateur (desktop) 30 Marque : HP 3500 MT
Processeur : Intel Core i3
CPU :@ 3.4 GHz
DD : 500Go
RAM : 4Go
Ordinateur (laptops) 9 Marque : HP proboock 4540s
Processeur : intel (R) Core i3
CPU :@2.4GHz
DD :500 Go
RAM :4 Go

Ordinateur(serveur) 3 Marque : HP Proliant MtG7


Processeur : AMD Turion II Neo N54L
CPU: @ 2.2 GHz
DD :3*300 Go (SAS)
RAM : 8 GO
Marque : HP Pro
Processeur : Intel inside Pentium
CPU : 2.4 GHz
DD :500 Go
RAM : 4 Go
Marque :HP 3500 MT
Processeur : Intel Core i3
CPU : 3.4 GHz
DD :500
RAM : 4Go
Onduleur général 1 APC MGE Galaxy 300

- vidéosurveillance: L’hôtel PALMCLUB dispose d'un système de vidéosurveillance constitué de


deux moniteurs et deux codecs qui sont recensés dans le tableau II.2 si dessous.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 9 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Matériels Nombre Caractéristiques


Provision – ISR 1 Moniteur 10 séries

Novo 1 H-264 Digital video recorder

DVR-Hikvision 1 DVR-Hikvision 9 objectif

Tableau II.2 : liste des équipements de vidéo surveillance et caractéristiques

- des imprimantes et scanners: Outils bureautiques par excellence, les imprimantes


peuvent constituées aussi des noeuds d'un réseau. Les imprimantes et scanners sont
recensés dans le tableau II.3.

Description des Imprimantes Nombre Caractéristiques


Imprimantes Réseau 2 HP LaserJet Pro P1606 dn

Imprimantes simple 3 HP LaserJet Pro P1606 dn

3 HP LaserJet 200 Color M25ln


Scanner 3 HP ScanJet G3110

Tableau II.3 : récapitulatif des imprimantes, scanners et caractéristiques

- les équipements d'interconnexions: Les équipements d'interconnexion représentent le


cœur du réseau dans une architecture. S'ils sont mal dimensionnés, ils pourront avoir des
effets négatifs sur le trafic du réseau, allant à la détérioration de celui-ci. Dans notre cas
d'étude, l'infrastructure du réseau de l’hôtel PALMCLUB comporte des commutateurs
Cisco monté en cascade. L'infrastructure comprend les équipements d'interconnexion
suivant répertoriés dans le tableau II.4.

Type Nombre Marque Caractéristique


d’équipement
Switch 9 Cisco 24 ports

Routeur 1 Cisco 1921 CISCO1921/ K9 'routeur multi ser-


vice cisco 1921' 2 ports, 2 slot 2 x
hwic, 2 x 10/ 100/ 1000base-t lan

Tableau II.4 : récapitulatif des équipements d’interconnexions et caractéristiques

- le câblage: Le câblage constitue le support physique de transmission du réseau. Il est


essentiellement réalisé avec de la paire torsadée FTP catégorie 5 pour le raccordement et
pour le câblage FTP catégorie 6 blindé et de la fibre optique qui sert de rocade.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 10 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

II.1.2- les logiciels

L’hôtel PALMCLUB dispose des différentes licences, Windows 7, Windows 8 professionnel pour
les postes clients et les licences de Windows 2008 serveur pour les différents serveurs.
L'utilisation de ces systèmes d'exploitation est fonction de l'environnement dans lequel les
solutions développées seront déployées. La politique du PALMCLUB est de réduire le taux de
maintenance et pour assurer à ses applications une certaine stabilité.

Le Tableau ci-dessous fait l'inventaire des différents systèmes d’exploitation et les logiciels
applicatifs installés ainsi que des différents services
Installés.

Types Nom Supports

Système d’exploitation Windows server 2008 R2 Postes serveur


serveurs
Système d’exploitation clients Windows 7 / Windows 8 Postes client fixe.

Logiciel de gestion des RestoRes v4 Poste service commercial


réservations FrontRes v4
Bureautique Office pro 2013 Poste client fixe

TABLEAU II.1.2 : l'inventaire des différents systèmes d’exploitation et les logiciels applicatifs

Les services installés :


Services installés Description du service

DHCP Serveur d'attribution dynamique d'adresses


IP

DNS Serveur de nom de domaine

FTP Protocole de transfert de fichiers

Messagerie+antivirus+antispam Serveur de messagerie et protection


antivirus

TABLEAU II.1.3 : Liste des services installés

II.1.3- le réseau
II.1.3.1- le réseau en général

Une bonne compréhension de l'environnement informatique aide à déterminer la portée du


projet d'implémentation de la solution. Il est essentiel de disposer d'informations précises sur
l'infrastructure réseau physique et les problèmes qui ont une incidence sur le fonctionnement du

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 11 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

réseau. En effet, ces informations affectent une grande partie des décisions que nous allons
prendre dans le choix de la solution et de son déploiement.

Le réseau ne contient aucun sous réseau, ce qui réduit ses performances compte tenu du
nombre important du trafic qui en découle. Le réseau de l'entreprise met en œuvre des données
sensibles, les stocke, les partage en interne et les communique parfois à d'autres entreprises ou
personnes.

Cette ouverture vers l'extérieur conditionne des gains de productivité et de compétitivité. Il est
impossible de renoncer aux bénéfices de l'informatisation, d'isoler le réseau de l'extérieur ou de
risquer la confidentialité des données de l’entreprise.
Les données sensibles du système d'information de l'entreprise sont donc exposées aux actes
malveillants dont la nature et la méthode d'intrusion sont sans cesse changeantes.
Les hackers s'attaquent aux ordinateurs surtout par le biais d'accès aux réseaux qui relient
l'entreprise à l'extérieur.
La société travaille dans un environnement basé sur le système d’exploitation Windows serveur
2008 R2. Elle est caractérisée par un très grand nombre de serveurs à gérer dont la gestion est
tenue par une structure externe basé au Sénégal.

Architecture: Le réseau de l’hôtel PALMCLUB est un réseau répondant aux normes Ethernet à
100 Mb/s de topologie étoilée. Son architecture peut être représentée par la figure II.1.3 si
dessous.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 12 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE II.1.3 : Architecture du réseau existant

- Plan d'adressage: Le réseau de l’hôtel PALMCLUB est constitué d’un seul réseau comprenant trois
(3) sous répartiteurs en fonction des niveaux des étages. Le service DHCP du Routeur Cisco 1921
se charge de l’attribution des adresses du réseau local.

II.1.3.2- le réseau sans fil

II.1.3.2.1 présentation général

Un réseau sans fil est un réseau où plusieurs terminaux peuvent communiquer sans avoir besoin
d’une connexion filaire. Ce type de réseau apporte une flexibilité dans le sens où l’utilisateur
reste connecté même s’il se déplace.
Cette technologie permet de limiter les coûts de mise en place d’un réseau, elle évite tout le
câblage, se déploie assez rapidement, et permet de connecter tout type de terminal ne disposant
pas forcément de prise réseau (Smartphones par exemple). Les réseaux sans fils permettent
aussi une grande souplesse d’évolution de par le peu de modifications physiques qu’engendre le
déménagement du réseau ou bien le changement de technologie.
Mais les réseaux sans fils présentent aussi quelques inconvénients comme la sécurité car
avec un réseau sans fil, ce n’est plus les murs de l’entreprise qui délimitent les accès mais
bien la propagation des ondes qui peuvent parfois être captées par des personnes qui ne

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 13 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

sont en aucun cas concerné par l’entreprise ; ou bien la continuité du signal qui peut être
entravée par les interférences avec d’autres appareils émettant des ondes.

II.1.3.2.2 le Wi-Fi
Le Wi-Fi est un type de réseau sans-fil qui signifie Wireless-Fidelity, il regroupe plusieurs
normes de réseaux sans-fil : les normes IEEE 802.11. Il permet de relier des appareils (ordinateur,
routeurs…) dans un réseau informatique sans liaison filaire.
Grâce au Wi-Fi, nous pouvons mettre en place des réseaux sans-fil à très haut débit et sécurisés,
ce qui permet d’envisager leur déploiement au sein des entreprises.
L’hôtel PALMCLUB dispose d’un réseau Wi-Fi couvrant tous les trois (3) niveaux du bâtiment à
savoir le rhé de chaussée, le premier et le deuxième étage. Ainsi tous les visiteurs ont accès a
internet grâce au Wi-Fi HOTSPOT-PALMCLUB qui est en quelque sorte un réseau visiteur

II.1.4- les Serveurs


Les serveurs matériels sont généralement des ordinateurs de plus grande capacité que les
stations de travail ordinaires et disposent de mémoire importante pour traiter simultanément les
nombreuses tâches actives ou résidantes en mémoire. Les serveurs ont également besoin
d'espace disque pour stocker les fichiers partagés et pour servir d'extension à la mémoire interne
du système. Les cartes système des serveurs nécessitent des connecteurs d'extension pour y
connecter des périphériques partagés, tels que des imprimantes et plusieurs interfaces réseau.
En résumé ce sont des ordinateurs qui ont une grande puissance de traitement et qui sont très
robustes afin d'assurer la disponibilité des services réseau.
A titre indicatif, un serveur peut rester en marche pendant toute une année sans être éteint.
Ainsi nous vous proposons un récapitulatif de la liste des serveurs dont dispose l’hôtel
PALMCLUB dans le tableau 2.

Matériels Nombre Caractéristiques


Ordinateurs serveurs 3 Marque : HP Proliant MtG7
Processeur : AMD Turion II Neo
N54L
CPU: @ 2.2 GHz
DD :3*300 Go (SAS)
RAM : 8 GO
Marque : HP Pro
Processeur : Intel inside Pentium
CPU : 2.4 GHz
DD :500 Go
RAM : 4 Go
Marque :HP 3500 MT
Processeur : Intel Core i3
CPU : 3.4 GHz
DD :500
RAM : 4Go

TABLEAU II.1.4 : Liste des serveurs de l’hôtel PALMCKUB

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 14 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

II.2- Diagnostique du système existant

II.2.1- forces du système


Sur le plan physique nous avons apprécié positivement le système informatique de l’hôtel
PALMCLUB sur les points suivants:
- existence d'une charte d'utilisation des outils informatiques : Cela permet d'informer
l'utilisateur sur ses marges de manœuvre, le dissuade de toute tentative d'outrepasser
ses droits d'utilisateur et l'observation des règles élémentaires de sécurité car ne dit-on
pas que 90% des risques sont le fait des utilisateurs internes;
- installation électrique : des prises de terre et des onduleurs permettent la protection de
l'équipement informatique contre les pics de courant, les surtensions et la sauvegarde de
données après une interruption électrique. Le réseau électrique interne est protégé par
des goulottes et séparé des câbles réseaux: ce qui épargne des risques d'électrocution et
évite les interférences électromagnétiques avec les câbles réseau car cela peut être
source d'erreurs de transmission;
- topologie du réseau: la topologie étoilée du réseau facilite la gestion du réseau et les
interventions physiques sur le réseau. Les câbles utilisés sont des paires torsadées
blindées srp et non blindées urp de catégorie 5E qui sont reconnus pour leur fiabilité et
sont protégés par des goulottes;
- politique de droit d'accès: La connexion à un poste du réseau est conditionnée par la
détention d'un compte utilisateur valide;
- configuration logique du réseau en de LAN: augmente le niveau de sécurité, permet une
localisation plus simple de problèmes, diminue l'étendue d'attaque et l'ampleur
d'éventuels dégâts et permet une fluidité du trafic réseau;
- système de sauvegarde : les données sont sauvegardées quotidiennement sur disque dur
externe, toute chose qui limite la perte de données;
- le système : presque tous les postes tournent sur des plateformes Windows 7 ou
Windows 8. Notamment les serveurs tournent sur Windows serveur 2008 R2 reconnu
pour sa fiabilité et sa robustesse.
- antivirus: Le serveur mail est doté d'un antivirus+antispam permettant d'éviter la
contamination des supports de stockage amovibles des utilisateurs via les e-mails bien
que des paramètres ont été mise en place pour sécuriser le système existant.

II.2.2- Failles du système


Partant du fait qu'aucun système informatique n'est parfait, c'est-à-dire que le risque zéro
n'existe pas et que tout système est vulnérable en matière de sécurité informatique. Alors
l'étude du réseau de l’hôtel PALMCLUB, nous a permis de définir un nombre importants de
contraintes pouvant réduire ses performances qui sont :

- L’administrateur chargé du contrôle du réseau n’est pas actuellement capable de vérifier


ni la disponibilité des accès (en ligne ou pas), ni la qualité des services offerts, ni la

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 15 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

détection des défaillance des équipements (charge CPU, Etat mémoire, surcharge des
disque...). Il ne peut contrôler non plus les surcharges et pénurie temporaire des
ressources. Le seul moyen de détecter ces anomalies ne peut se faire que par la réception
des différentes plaintes et réclamations des différents utilisateurs.
- Augmentation rapide du nombre des utilisateurs
- Volume accru du trafic généré par chaque utilisateur
- Echange volumineux de fichiers non nécessaire entre utilisateurs
- Trafic web important
- L’entreprise présente aussi une absence de contrôle de trafic entre le réseau interne et
externe.
- Les collisions important dans le réseau.
- La vulnérabilité du local technique (salle serveur). en effet, cette salle se trouve dans un
local au rhé de chaussé donc facile d’accès. Aussi la quasi-totalité des services installés ne
se trouve seulement que sur deux serveurs implantés dans le même local, ce qui
constitue un potentiel danger pour tout le réseau car le moindre incendie qui surviendrait
dans ce local serait susceptible de causer des pertes considérables pour tout le système
informatique et par ricochet les données très précieuses;
- la restriction de l'accès au WIFI: le point d'accès utilisé présentement pour
l'authentification par clé de sécurité n’offre pas une sécurité garantie pour une structure
de la taille de l’hôtel PALMCLUB. De plus lorsqu'un utilisateur change de machine la
configuration du point d'accès (la clé de sécurité du point d’accès) doit être modifiée pour
prendre en compte cette machine;
- le manque de traçabilité et de contrôle d'accès.
- Absence de moyen de détection d’intrusion de les traiter le plus rapidement possible.
- Absence de contrôle d’accès à certains sites et filtrage des pages Web.

II.2.3- solution retenue

Vu les failles décrites plus haut, la solution devra permettre ce qui suit :
- Sécuriser et contrôler les accès externes et interne à l’internet à travers une page
d’authentification vu le nombre important des utilisateurs internes et externes de
système réseaux,
- les utilisateurs devront s’authentifier avec un login et un mot de passe de façon sécurisée
l’accès a l’internet,
- pour se connecter, les clients n'ont besoin que d'un navigateur Web,
- les paramètres du compte sont stockés dans une base de données existante et les
comptes déjà existants doivent pouvoir être utilisés;
- toutes les requêtes web des clients doivent être automatiquement redirigées sur la page
d'authentification;
- l'authentification des clients et des administrateurs doit se faire de façon sécurisée;

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 16 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

- le point d'accès doit être totalement transparent pour le client;


- l'accès au web doit être indépendant du système d'exploitation du client;
- la sécurité nécessaire au réseau local de l'entreprise et de détecter les tentatives
d'intrusion.
- A partir d’un firewall proposé donc un véritable contrôle sur le trafic réseau de
l'entreprise permet d'analyser, de sécuriser et de gérer le trafic réseau, et d'utiliser ainsi
convenablement le réseau de la société,

- Interdire l’accès à certains sites et filtrer les pages Web.


- Pouvoir détecter et interpréter les causes et origines des problèmes rencontrés afin de les
traiter le plus rapidement possible,
- le système doit permettre à l'administrateur d'optimiser l'utilisation de la bande passante;
c'est-à-dire que l'administrateur peut par exemple limiter la bande passante au niveau de
chaque utilisateur pour éviter que celle-ci soit surchargée ou il peut même filtrer des sites
indésirables (téléchargements torrents, peer to peer, sites pornographiques ... ).
Il s’agit donc et sans doute d’une mise en place d’un portail captif doté d’un composant
firewall qui pourra, grâce à ses différentes fonctionnalités, apporter la sécurité nécessaire
au réseau local de l'entreprise et de détecter les tentatives d'intrusion, contrôler le trafic
réseau de l'entreprise afin de permettre d'analyser et de sécuriser afin d'utiliser ainsi
convenablement le réseau de la société. Et tout ceci doit se réaliser sans encombrer le
réseau avec des activités non essentielles.
La nouvelle architecture proposée pour réseau de l’hôtel PALMCLUB est la suivante :

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 17 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE II.2.3 : Architecture du réseau Améliorée

Suite à l’étude de l’existant de l’hôtel PALMCLUB, nous avons présenté les problèmes et la
solution proposée pour aider l’administrateur à contrôler l’accès au réseau ainsi de façon a
sécurisé son fonctionnement et lui permettre d’éviter certaines situations de surcharge ou
encore de mauvaise utilisation du réseau. Cependant, La solution proposée de mise en d’un
portail captif doté d’un composant firewall, nous ramène à étudier les différents produits
disponibles sur le marché et faire notre choix indépendamment de l’environnement de travail
du réseau de l’hôtel PALMCLUB. Ainsi Le chapitre suivant sera consacré à une étude sur la
généralité des portails captif qui comprend une étude comparative de différents produits du
marché afin de justifier nos choix et de clarifier les aspects techniques de notre solution.

II.2.4- Planification du projet


Pour bien mener ce projet, l'élaboration d'un plan de travail s'avère nécessaire. Ce plan décrit les
différentes tâches à réaliser et le rôle de chaque responsable impliqué au niveau des ressources
humaines. En effet un groupe de pilotage constitué du superviseur et du maître de stage assure
les activités administratives, le suivi et la fourniture des besoins du projet. Le groupe de projet
constitué des stagiaires que nous sommes a pour rôle d'effectuer la partie technique du projet. Il

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 18 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

est assisté dans ses tâches par le groupe de pilotage. Ainsi pendant ces trois mois de travail
nous avons fait de notre mieux pour s’enchaîner au plan suivant :
• Premier Mois : C’est la période que nous avons consacré à la préparation des outils de
travails et à la documentation sur les portails captifs.

• Deuxième mois : Consacré à l’élaboration du cahier de charge, l’installation et mise en


place du portail captif et créer la démarche de sécurité. Et nous avons pu enfin entamer
la configuration de serveur proxy et faire les étapes de sécurité proposée.

• Troisième mois : la réalisation qui consistera à la mise en place de la solution au niveau


du réseau local de l’entreprise l’Hôtel PALMCLUB.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 19 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

PARTIE II : ETUDE TECHNIQUE

Chapitre III : GENERALITES SUR LES PORTAILS


CAPTIFS

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 20 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

III.1- Définition des Portails Captifs


Un portail captif est une structure permettant un accès rapide et sécurisé à Internet. Lorsqu'un
utilisateur cherche à accéder à Internet pour la première fois, le portail capte sa demande de
connexion grâce à un routage interne et lui propose de s'identifier afin de pouvoir recevoir son
accès. Cette demande d'authentification se fait via une page web stockée localement sur le
portail captif grâce au serveur HTTP. Ceci permet à tout ordinateur équipé d'un « Web
browser » ou navigateur web et d'un accès Wifi de se voir proposer un accès à Internet. Au-delà
de l'authentification, les portails captifs permettent d'offrir différentes classes de services et
tarifications associées pour l'accès Internet. Cette technique est généralement mise en œuvre
pour les accès Wi-Fi mais peut aussi être utilisée pour l'accès à des réseaux filaires pour des
structure comme par exemple des hôtels, campus, etc. la connexion au serveur est sécurisée par
SSL grâce au protocole HTTPS ce qui garantit l'inviolabilité de la transaction. Les identifiants de
connexion (Login et Mot de passe) sont stockés dans une base de données qui est hébergée
localement ou sur un serveur distant. Une fois l'utilisateur authentifié, les règles de firewall le
concernant sont modifiées et celui-ci ce voir autorisé à utiliser son accès Internet pour une durée
fixée par l'administrateur. A la fin de la durée fixée, l'utilisateur se verra redemande ses
identifiants de connexions afin d'ouvrir une nouvelle session.

III.2- Fonctionnement des portails captifs

FIGURE III.2 : fonctionnement générale d’un portail captif

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 21 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Le client se connecte au réseau par l'intermédiaire d'une connexion filaire ou au point d'accès
pour du wifi. Ensuite un serveur DHCP lui fournit une adresse IP ainsi que les paramètres de la
configuration du réseau. A ce moment-là, le client à juste accès au réseau entre lui et la
passerelle, cette dernière lui interdisant, pour l'instant, l'accès au reste du réseau. Lorsque le
client va effectuer sa première requête de type web en HTTP ou HTTPS, la passerelle le redirige
vers une page web d'authentification qui lui permet de s'authentifier grâce à un login et un mot
de passe. Cette page est cryptée à l'aide du protocole SSL pour sécuriser le transfert du login et
du mot de passe. Le système d'authentification va alors contacter une base de données
contenant la liste des utilisateurs autorisés à accéder au réseau. Enfin le système
d'authentification indique, plus ou moins directement selon les portails captif, à la passerelle que
le couple MAC/IP du client est authentifié sur le réseau. Finalement le client est redirigé vers la
page Web qu'il a demandé initialement; le réseau derrière la passerelle lui est dorénavant
accessible.

Le portail captif, grâce à divers mécanismes comme une fenêtre pop-up sur le client rafraîchie à
intervalles réguliers ou des requêtes Ping vers le client, est en mesure de savoir si l'utilisateur est
toujours connecté au réseau. Au bout d'un délai d'absence sur le réseau, le portail captif va
couper l'accès à cet utilisateur.

La différence entre un simple Firewall et un portail captif réside dans le fait que le portail captif
ne refuse pas une connexion mais la redirige plutôt vers une page d'authentification.

III.3- Aperçu de quelques portails captifs


Il existe dans le monde du logiciel libre plusieurs solutions de portail captif dont voici les
principaux :

III.3.1. Alcasar
Alcasar est un projet Français essentiellement dédié aux fonctions de portail captif, cet applicatif
s’installe via un script supporté par la distribution Linux Mandriva, les configurations se font via
une interface de gestion sécurisée (HTTPS) ou bien en ligne de commande directement sur le
Serveur Mandriva. Une sauvegarde de la configuration est prise en charge via la création d’un
ghost système dans le panneau d’administration, ce qui engendre tout de même un fichier d’une
certaine taille. Les mises à jour régulières assurent la pérennité de la solution.
L’authentification au portail est sécurisée par HTTPS et un couple utilisateur / mot de passe.
Une documentation assez complète est disponible pour l’installation et la configuration et la
communauté semble active.
Tout comme pfSense, Alcasar est compatible avec de nombreuses plateformes, la
personnalisation des pages utilisateurs et la simplicité d’utilisation son présente.

III.3.2. Talweg
Le logiciel talweg est un portail captif s'exécutant sur une plate-forme Linux. Il utilise un
serveur DNS, DHCP, Apache ainsi qu’Asp.Net et Iptables*.
Talweg présente de nombreux points intéressants :
• Une authentification sécurisée.
• Du multifenêtrage.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 22 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

• Des traces très détaillées (de type proxy web : date, utilisateur, URL complète) ;
• La possibilité d’utiliser ses « liens favoris » (en lecture) ou des liens par copier/coller.

En revanche, il y a des points négatifs :


• Talweg ne fonctionne pas avec certains JavaScript, ActiveX et ne fonctionne pas du tout avec les
pages ASP.
• Il est impossible d’enregistrer des liens issus de la réécriture des URLs.
• Il n’y a pas de gestion de la durée de connexion des utilisateurs.

III.3.3. WifiDog
Wifidog est un logiciel libre fonctionnant à la fois sur des serveurs d'authentification et, grâce
à un logiciel de portail captif embarqué, sur une base sans-fil. Cette architecture distribuée
permet d'offrir un service de portail captif gratuit tout en réduisant les coûts par noeuds
installés au minimum.
 Fonctionne sur des plateformes embarquées ou autres
 Se compose de deux parties:
- WifiDog Authentification Server : serveur d'authentification
- WifiDog Gateway: passerelle filtrante du système de portail captif
dépendances (un serveur web Apache mode SSL, un serveur DHCP, un serveur
DNS, un pare-feu netfilter).

Les inconvénients de WifiDog sont :


- La consommation en ressource réseau est extrêmement faible.
- Elle utilise seul le port 80 passe.
- la bande passante demandée est très faible.

III.3.4. Pfsense
Pfsense est une distribution FreeBSD développée lors d’un projet en 2004, l’objectif de départ
est d’assurer les fonctions de pare-feu et de routeur mais l’engouement généré par cet applicatif
lui a permis d’étendre ses fonctionnalités et présente maintenant les fonctions de portail captif,
serveur proxy…
Son installation se fait facilement via une distribution dédiée et toutes les configurations peuvent
se faire soit en ligne de commande (SSH) ou bien via l’interface web (HTTPS). La sauvegarde et
restauration de configuration est disponible à travers l’interface web et permet de générer un
simple fichier d’une taille raisonnable. Le portail assure une évolution constante grâce à des
mises à jour régulières dont l’installation est gérée automatiquement dans une partie du
panneau d’administration.
Cette solution permet une authentification sécurisée via le protocole HTTPS et un couple
utilisateur / mot de passe.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 23 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

III 4. Tableau de comparaison des portails captifs

Alcazar Talweg wifidog Pfsense


Simplicité
d’installation
Infrastructure
nécessaire
Performances
réseau
Gestion
utilisateurs
Sécurité
authentification
Sécurité
communication
Protocoles
supportés
Crédit temps
Interface
d’administration
TABLEAU III.4 : Comparaison des portails captifs
Légende :
Non disponible

Moins Important

important

Plus important

Dans l'étude comparative des solutions nous avons mis en évidence plusieurs critères importants
que doivent prendre en compte les différentes solutions:
- Sécurité des échanges lors de l'authentification: pour éviter la récupération de mot de passe
sur le réseau ;
- Présence d'une documentation complète: pour assurer la rapidité de mise en place de la
solution;
- Simplicité d'administration: pour permettre à différentes personnes d'administrer le logiciel;
- Simplicité d'utilisation: pour permettre à tous les visiteurs (expérimentés ou non) de se
connecter au réseau Wi-Fi ou filaire;
- Compatibilité multiplateformes : pour permettre la connexion depuis les Smartphones,
différents navigateurs web et différents systèm50.d'exploitation.
- Présence de sauvegarde et restauration de configuration : pour permettre un redémarrage du
système très rapidement en cas de problèmes;

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 24 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

- Pérennité de la solution : pour pallier les failles de sécurité et augmenter les fonctionnalités
de la solution via des mises à jour ;
- Possibilité de personnaliser la page de connexion : pour adapter le logiciel à la charte
graphique de l'entreprise et ainsi le rendre plus convivial.

III 5. Choix de la solution de portail captif


Bien que nous n'ayons pas mis en pratique toutes ces solutions pour les comparer, l'étude
théorique permet de retenir deux solutions à savoir Pfsense et ALCASAR car elles répondent
toutes deux à nos besoins: solutions libres, peuvent s'installer sur un serveur comme sur un
poste de travail, authentification des utilisateurs par login et mot de passe, contrôle de la bande
passante, facilité d'administration, d'installation et de configuration, facilité d'utilisation,
documentation très détaillée et disponible, disponibilité de mises à jour, etc. Les deux solutions
répondent tout à fait au cas étudié mais ALCASAR s'installe uniquement via une distribution
Mandriva. Aussi ALCASAR s'installe via un script automatisé, par contre Pfsense s'installe via une
distribution dédiée ; ce qui rend impératif le choix de Pfsense. De plus Pfsense présente une
interface plus conviviale et une page principale en tableau de bord où l'on retrouve toutes les
informations essentielles et que l'on peut modifier en fonction des besoins. Ce produit présente
aussi une plus grande assurance car la communauté des utilisateurs est très active.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 25 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

CHAPITRE IV : ETUDE TECHNIQUE DE


PFSENSE

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 26 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

IV.1. Présentation de pfsense

Développé par Chris Buechler et Scott UlIrich, Pfsense ou Packet Filter Sense est à la fois un
portail captif et est un routeur/pare-feu open source basé sur le système d'exploitation FreeBSD.
À l'origine d'un fork de m0n0wall, il utilise le pare-feu à états Packet Filter, des fonctions de
routage et de NAT lui permettant de connecter plusieurs réseaux informatiques. Il comporte
l'équivalent libre des outils et services utilisés habituellement sur des routeurs professionnels
propriétaires. Ses performances sont liées au matériel utilisé. Pfsense convient pour la
sécurisation d'un réseau domestique ou de petite entreprise. Il est possible d’émuler le système
d’exploitation Free BSD grâce à VMware ou Virtualbox.

Après une brève installation manuelle pour assigner les interfaces réseaux, il s'administre ensuite
à distance depuis l'interface web et gère nativement les VLAN.

Comme sur les distributions Linux, pfsense intègre aussi un gestionnaire de paquets pour
installer des fonctionnalités supplémentaires, comme un proxy, serveur VoIP 1...

A la fois routeur et pare-feu (firewall) « OS-firewall », PFSENSE prend en charge de nombreuses


capacités étendues telle que NAT, IPV6, biensur Serveur DHCP, ou encore serveur de Proxy,
serveur VPN over IPSec/PPTP, ….

Cette solution peut donc remplacer les routeurs et pare-feu mais peut aussi se combiner aux
routeurs / firewall déjà existant. Par ailleurs Toute la configuration du système est stockée dans
un fichier xml (/cf/conf/config.xml).

En plus Pfsense propose plusieurs services tels que :

- Système de basculement (failover)


- VPN site à site avec Openvpn et Ipsec
- VPN client PPTP
- VPN point à point avec Stunnel
- Proxy et Blacklist (Squid et SquidGuard)
- ISD avec Snort
- Répartition des charges avec Loadbalancer
- Partage de la bande passante avec Traffic shaper
- Vue sur la consommation de la bande passante avec bandwithd et Ntop
- Portail captif avec captive portal

IV.1.2-Evolutions
Depuis sa mise en route en 2004, le projet Pfsense ne cesse d'évoluer et différentes versions du
logiciel se sont succédées. Pour chaque version, il en existe pour les architectures i386 (32bits)
et amd64 (64-bits). De même elles sont disponibles en Live CD ou en plate-forme embarquée.
Ainsi on a:
- Pfsense 2.2 disponible depuis 23/01/2015 une version stable soutenu

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 27 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

- Psense 2.2.6 disponible depuis le 21/12/2015 precedent entretien de securité stable;


- Pfsense 2.1.1 disponible depuis 04/04/2014
- Pfsense 2.0.3 : disponible depuis le 15/04/2013, elle est la plus stable;
- Pfsense 2.0.2 : disponible depuis le 21/12/2012 ;
- Pfsense 2.0:disponible depuis le 17/09/2011 ;
- Pfsense 1.0 : première version sortie le 14/10/2006.
- Et pfsense 2.3.1 et pfsense 2.4 sont des future version dont la date de sortie na pas encor été
determinée.

Chaque version de pfsense est basée sur une version spécifique de -RELEASE de FreeBSD

IV.1.3-Configuration requise
Pour le matériel sur lequel Pfsense doit s'installer, on a besoin d'un minimum qui soit composé
d'une machine dotée d'au moins deux cartes réseau et dont les caractéristiques sont:
- au moins 1 Go de disque dur (500 Mo pour les plates-formes embarquées) ;
- au moins 128 Mo de RAM, mais plus de 512 Mo recommandés;
- un CPU cadencé à au moins 100 MHZ (500 MHZ ou plus recommandé).
- disque dur : 40 OB ;
- Processeur: 1350 Mhz ;
- RAM: 768 MB.

Mais dans notre cas nous avons utilisé un poste de travail avec les caractéristiques suivantes:
Le matériel et la configuration minimale requise sur une machine :

 2 interfaces réseaux minimum


 4 Go de RAM
 250 Go Disque Dur

IV.1.4-Objectifs

Passer en revue les principales fonctionnalités de pfsense à travers une analyse détaillée de
son interface.

• Apprendre à dimensionner son hardware en fonction de ses besoins.


• Installer et mettre à jour son système sur différents supports.
• S’initier à la pratique de l’outil en présentant les différents modes d’accès
envisageables (Web, port série, SSH).

• Procéder aux réglages de base de pfsense (hôte, domaine, serveurs DNS, NTP).
• Manipuler et assigner les interfaces du firewall pfsense.
• Procédure d’urgence : accès SSH, désactivation du firewall, rétablissement de règles
opérationnelles.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 28 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

• Procédure d’installation des paquetages par l’intermédiaire de l’interface graphique.


• Incidence sur le système du déploiement des paquets.
IV.1.5- Avantage
Les avantages liés à l’utilisation de pfsense sont multiples. Nous pouvons citer parmi tant d’autre :
• Simplicité de l’activation / désactivation des modules de filtrage.
• Solution riche et performante à moindre coût (basé sur des logiciels libres).
• Solution légère pouvant être déployé sur des configurations minimales.
• Interface web sensible et efficace

FIGURE IV.1.5 : le réseau informatique avec notre application pfsense

IV.1.6- Fonctionnalité

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 29 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Supportant l’ajout de plugins complémentaires pfsense offre nativement de nombreuses


possibilités dont Voici les grandes lignes

- Filtrage par IP source et destination, port du protocole, IP source et destination pour le


trafic TCP et UDP
- Capable de limiter les connexions simultanées sur une base de règle
- pfsense utilise p0f, un utilitaire permettant de filtrer le trafic en fonction du système
d'exploitation qui initie la connexion.
- Possibilité d'enregistrer ou de ne pas enregistrer le trafic correspondant à chaque règle.
- Politique très souple de routage possible en sélectionnant une passerelle sur une base
par règle (pour l'équilibrage de charge, basculement, Connexions WAN multiple, etc)
- Utilisation d'alias permettant le regroupement et la désignation des adresses IP, des
réseaux et des ports, rendant ainsi votre jeu de règles de pare-feu propre et facile à
comprendre, surtout dans des environnements avec plusieurs adresses IP publiques et de
nombreux serveurs.
- Filtrage transparent au niveau de la Couche 2, le pare-feu est capable d'agir en pont
filtrant.
- La normalisation des packets est utilisée, il n'y a donc aucune ambiguïté dans
l'interprétation de la destination finale du paquet. La directive « scrub » ré-assemble aussi
des paquets fragmentés, protège les systèmes d'exploitation de certaines formes
d'attaque, et laisse les paquets TCP contenants des combinaisons de Flags invalides.

Activé dans pfsense par défaut Vous pouvez le désactiver si nécessaire. Cette option provoque
des problèmes pour certaines implémentations NFS, mais il est sûr et devrait être laissée activer
sur la plupart des installations. Désactiver le filtre - vous pouvez désactiver entièrement le filtre
de pare-feu si vous souhaitez configurer pfsense comme un routeur pur.

- Network address translation (NAT)

Rediriger les ports y compris les rangs et l'utilisation de plusieurs adresses IP publiques NAT pour
les adresses IP individuelles ou des sous-réseaux entiers. Redirection NAT Par défaut, le NAT
redirige tout le trafic sortant vers l'adresse IP WAN. Dans le cas de connexions WAN Multiples, le
NAT redirige le trafic sortant vers l'adresse IP de l'interface WAN utilisée. NAT réflexion : dans
certaines configurations, NAT réflexion est possible si les services sont accessibles par IP publique
à partir de réseaux internes.

- Basculement base sur CARP et pfsync

Common Address Redundancy Protocol ou CARP est un protocole permettant à un groupe


d'hôtes sur un même segment réseau de partager une adresse IP. Le nom CARP est en fait un
sigle qui signifie « Common Address Redundancy Protocol » (Protocole Commun De Redondance
D'Adresse), à ne pas confondre avec « Cache Array Routing Protocol » utilisé pour faire de la

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 30 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

répartition de charge de mandataires caches web Il a été créé pour contourner des brevets. Ce
protocole peut être utilisé pour faire de la redondance et de la répartition de charge. Il supporte
IPv4 et IPv6, et a le numéro de protocole 112. Il est supporté par pfsense

- pfsync assure la table d'état du pare-feu est répliquée sur tous les pare-feu configurés de
basculement. Cela signifie que vos connexions existantes seront maintenues dans le cas
d'échec, ce qui est important pour prévenir les perturbations du réseau.
- Load Balancing/ Répartition de charge :

La répartition de charge du trafic sortant est utilisée avec plusieurs connexions WAN pour
assurer la répartition de charge et des capacités de basculement. Le trafic est dirigé vers la
passerelle souhaitée ou le groupe d'équilibrage local.

 VPN

pfSense offre quatre options de connectivité VPN: IPSec, OpenVPN, PPTP et L2TP.

 RRD Graphiques

Les graphiques RRD de pfSense mettent à jour des informations historiques sur les points
suivants : L'utilisation du processeur Le débit total État de Firewall Débit individuelle pour toutes
les interfaces Paquets par seconde taux pour toutes les interfaces Interface WAN passerelle (s)
de temps de réponse ping Trafic des files d'attente de mise en forme sur les systèmes avec
lissage du trafic activée.

 Dynamic DNS

Un client DNS dynamique est inclus pour vous permettre d'enregistrer votre adresse IP publique
avec un certain nombre de fournisseurs de services DNS dynamiques. DynDNS DHS dnsExit DYNS
easyDNS FreeDNS HE.net Loopia Namecheap No-IP ODS.org OpenDNS ZoneEdit

 Captive Portal

Un Portail captif permet de forcer l'authentification, ou la redirection vers une page pour l'accès
au réseau. Ceci est communément utilisé sur les réseaux de points chauds, mais est également
largement utilisé dans les réseaux d'entreprise pour une couche supplémentaire de sécurité sur
l'accès sans fil ou Internet. Ce qui suit est une liste des fonctionnalités du portail captif de
pfsense.

Connexions simultanées maximum - Limiter le nombre de connexions au portail lui-même par


client IP. Cette fonctionnalité empêche un déni de service à partir d'ordinateurs clients
établissant des connexions réseau à plusieurs reprises sans authentification.

Délai d'inactivité - Délai en minutes après lequel les sessions inactives seront fermées.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 31 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Disk timeout - Forcer une déconnexion de tous les clients après le nombre défini de minutes.

Logon fenêtre pop-up - Option pour faire apparaître une fenêtre avec un bouton Déconnexion.

Redirection d'URL - Après authentification ou en cliquant sur le portail captif, les utilisateurs
peuvent être redirigés vers l'URL définie.

Filtrage MAC - Par défaut, les filtres pfSense en utilisent des adresses MAC. Si vous avez un sous-
réseau derrière un routeur sur une interface compatible de portail captif, chaque machine
derrière le routeur sera autorisé après qu'un utilisateur est autorisé. Le filtrage MAC peut être
désactivé pour ces scénarios.

Il y’a trois options d'authentification disponibles :

- Aucune authentification : Cela signifie que l'utilisateur verra s'afficher votre page de
portail sans avoir à entrer d'information d'identification.
- Gestionnaire d'utilisateur local : Une base de données d'utilisateur local peut être
configurée et utilisée pour l'authentification.
- Authentification RADIUS : Méthode d'authentification lorsque la base de données
d'utilisateur est déportée sur un serveur. La négociation entre Pfsense et le serveur
utilisera la norme RADIUS.

 Serveur DHCP et relais

Pfsense comprend à la fois les fonctionnalités de serveur DHCP et de relais DHCP


- Une gestion de plugin vient parfaire l'installation de base, avec notamment Avahi
(Zeroconf), FreeRADIUS, haproxy, Iperf, Squid, squidGuard, Nmap, Ntop, Snort , short,
Varnish, Zabbix.

A tout cela nous pouvons ajouter d’autres fonctionnalité telle que :


- Serveur ou client PPPoE
- Ip virtuelles
- Logs, Failover, …..

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 32 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

PARTIE III : REALISATION

CHAPITRE V : INSTALLATION DE PFSENSE,


IMPLEMENTATION DU PORTAIL CAPTIF ET MISE
EN PLACE DU PARE FEU PFSENSE

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 33 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

V.1- Installation de Pfsense


V.1.1 - Architecture réseau requis
Pour préparer le réseau, nous avons choisis la distribution Pfsense (routeur firewall), chacune des
interfaces aura une configuration spécifique. Il sera configuré de la manière suivante :
Interface LAN : réseau 192.168.100.1, sera utilisé pour les postes fixes de l’hotel et donc tous les
utilisateurs de l’établissement.
Interface Wan : En mode DHCP de sorte qu’il récupéré dynamiquement une adresse ip du routeur qui fait
office d’un serveur DHCP.

V.1.2 – Installation
Après avoir récupérer votre matériel l’installation peut commencer. A noter qu’il est impossible
d'installer Pfsense sur un disque contenant une partition Fat16/32, NTFS ou autres. Le disque dur
devra être formaté pendant l’installation. Passons maintenant à l'installation de Pfsense.
Il existe 2 façons de faire marcher le portail captif :
- Sur le disque dur
- Via un Live CD

Cette dernière solution est très rapide et efficace. Le chargement se fait automatiquement ainsi
que sa configuration. Mais elle possède tout de même des inconvénients :
- Chargement long
- Configuration stockée sur disquette (les disquettes sont peu fiables)
- Impossibilité d'ajouter des "packages" (logiciels), on ne peut pas toucher à la structure du
CD.

Nous avons donc utilisé le Live CD pour comparer les différents portails captifs, mais pour une
implantation dans un réseau, il vaut mieux l'installer sur un disque dur.
Après avoir téléchargé l’ISO sur le site de Pfsense : http://www.pfsense.org nous l’avons gravé
sur CD afin de passer à l’installation.

Installation sur le disque dur :

Tout d'abord, vérifier que votre ordinateur possède les caractéristiques requises, puis insérer le cd
au démarrage de votre machine.
Vous allez ensuite avoir l'écran de démarrage de FreeBSD. Vous avez plusieurs choix possibles.
Vous allez ici mettre l'option 1 (défaut) ou bien attendre que le compte à rebours termine.
Au lancement nous avons obtenu cet écran :

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 34 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.1.2 : Ecran de démarrage de FreeBSD


Ensuite vient la configuration des interfaces réseaux. Vous remarquerez ci-dessous que FreeBSD
détecte le nombre de carte réseau, et y attribue des noms (Valid interface are : lnc0 et lnc1 dans
notre cas).
Choisissez donc quel interface sera le LAN et l'autre le WAN (ici LAN: lnc0, WAN: lnc1).
Si vous voulez créer des DMZ, il faut les ajouter dans Optional interface juste après. Sinon ne
mettez rien et appuyer sur entrer.

FIGURE V.1.3 : Ecran de configuration de carte optionnel

Nous avons ensuite un récapitulatif de la configuration et devons la valider en tapant "y" .

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 35 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.1.4 : Ecran d’assignation des interfaces


FreeBSD charge ensuite et nous entrons dans le menu.
Nous allons donc passer à l'installation sur le disque dur en tapant le choix "99".

Puis nous avons tapé sur la lettre ‘i’ pour installer pfsense en dur. (N.B. : Si, au bout de 10
secondes, nous ne répondons rien à cet écran, pfsense se lance en Live-CD).
C’est alors que l’installation proprement dite doit démarrer par cet écran :

FIGURE V.1.5 : Configuration des options vidéo ou clavier

L’installation se lance et nous propose de configurer des options vidéo ou de clavier si cela est
nécessaire. Une fois ces réglages effectués nous choisirons « accept these setting » pour
continuer.
Puis nous sélectionnerons « Install PfSense ».

FIGURE V.1.6 : Configuration de l’installation


La distribution nous demandera de choisir le disque dur, n’en ayant qu’un nous nous
contenterons de valider ce choix.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 36 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.1.7 : Sélection du disque pour l’installation de pfsense


Nous formaterons ce disque pour que le système d’exploitation possède le bon format de fichier
en validant « Format this Disk ».

FIGURE V.1.8 : Format du disque

Le menu suivant nous proposera de changer la géométrie du disque dur. Cette étape n’est en
principe pas nécessaire. En effet, Pfsense reconnaît quasiment tous les disques durs existants. A
ne changer donc uniquement que si le disque est trop récent et donc pas reconnu. Nous irons
par conséquent directement à « Use this geometry ».

FIGURE V.1.9 : Choix de la géométrie du disque dur

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 37 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Un message d’alerte apparaîtra pour nous avertir que le formatage nous fera perdre toutes nos
données. Nous validerons cette action avec « Format ad0 »

FIGURE V.1.10 : Formatage du disque dur


Pfsense proposera de créer une partition sur le disque dur. Nous validerons « Partion Disk » car
aucune installation de Pfsense n’a été effectuée et aucune partition n’existe.

FIGURE V.1.11 : Partition du disque dur

Le menu de partitionnement nous permettra de redimensionner le disque pour installer Pfsense.


Ici nous prendrons tout l’espace disque disponible pour créer notre partition. Pour valider nous
irons sur « Accept and Create ».

FIGURE V.1.12 : Création de partition

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 38 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Une fenêtre d’avertissement s’affichera et nous validerons avec « Yes partition ad0 ». Un
message nous avertira que la partition a bien été créée.

FIGURE V.1.13 : Acceptation de partitionnement


Le menu suivant nous proposera d’installer Pfsense sur la partition de notre choix, nous
choisirons notre disque dur.

FIGURE V.1.14 : Choix de la partition

Le programme d’installation formatera la partition sur laquelle nous souhaitons mettre Pfsense.
Nous validerons.

FIGURE V.1.15: Validation du format


Un message nous avertira que la partition a été formatée.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 39 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.1.16: Partition formater

L’étape suivante consiste à définir la swap et le point de montage. La swap est un espace
mémoire du disque dur réservé pour des opérations d’échange. C’est la mémoire virtuelle qui est
utilisée de la même manière que la mémoire RAM. Nous mettrons 1024M à disposition de cette
mémoire. Le point de montage lui correspond à la racine du système d’exploitation. Nous
mettrons « * » pour qu’il prenne le reste du disque dur. Pour valider ces choix nous ferons «
Accept and Create ».

FIGURE V.1.17: Configuration du reste du disque dur

Pfsense début alors son installation.

Afin de mieux configurer le noyau de type BSD, l’installeur nous demande de spécifier quel type
de processeur sera utilisé sur cette machine. Au vu de la configuration de notre machine, nous
choisirons « Uniprocessor kernel ». Ce type de demande montre bien à quel point la distribution
est faite pour s’adapter au mieux aux performances de la machine et ainsi être la plus proche du
matériel possible.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 40 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.1.18: Configuration du noyau

Nous allons maintenant installer le bootloader de PfSense sur le disque dur. Ce dernier
permettra de démarrer sur la partition du portail captif. Pour ce faire nous sélectionnerons «
Accept and install BootBlocks ». Un message nous avertira que BootBlocks a bien été installé.

FIGURE V.1.19: Lancement de l’installation


Après l’installation nous pourrons enlever le CD du lecteur et redémarrer en validant « Reboot ».

FIGURE V.1.20: Fin de l’installation

Une fois l'installation terminée, retirer le cd et redémarrer la machine. Si tout c'est bien déroulé,
vous devriez atteindre à nouveau le menu de Pfsense sans le cd.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 41 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.1.21: Menu de configuration

Pfsense est en marche. Vous pouvez le configurer ici même via le Shell (ligne de commande) ou
bien via une interface graphique (http) en connectant un PC sur la carte associé au LAN.

V.2 - Interface web de Pfsense

Nous allons maintenant accéder a l’interface web Pfsense.


Avant tout, nous vous conseillons de changer l'IP sur la machine de Pfsense directement, pour plus
de simplicité par la suite. Pour cela, dans le menu de Pfsense, tapez le choix 2 Set LAN IP address.
Entrer l'adresse IP correspondant à votre LAN.
Nous allons pouvoir maintenant configurer Pfsense via l'interface Web.
Connectez une machine sur la carte réseau de Pfsense (coté LAN, tout est bloqué coté WAN par
défaut). N'oubliez pas de changer l'IP de votre machine.
Ouvrez ensuite votre navigateur Web, puis entrez http://ip_pfsense.
Dans notre cas, nous ferons http://192.168.100.1 pour accéder à l'interface de connexion (figure
IV.3.2) où il est demandé d'entrer un nom d'utilisateur et un mot de passe. Entrer ensuite le nom
d'utilisateur par défaut (admin) et le mot de passe (pfsense) pour se connecter en tant que
administrateur.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 42 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.2: l'interface de connexion d’accès à l’interface web

On accède au menu général de Pfsense (figure V.2.2) qui donne des informations globales sur
le logiciel (version, date de sortie, version du noyau, le nombre d'interfaces connectées etc.).

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 43 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.2.2 : menu général de Pfsense

V.3- configuration de Pfsense

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 44 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.3 : Menu de configuration général de Pfsense


Ici se trouve la configuration générale de Pfsense. Entrez ici le nom de la machine, le domaine et
l'IP du DNS. Attention, il vous faut décocher l'option se trouvant dessous (Allow DNS server list to
be overridden by DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les
DNS des clients n'est plus Pfsense, mais un DNS du WAN inaccessible par le LAN.
Ensuite, modifiez le nom et le mot de passe du compte permettant de se connecter sur Pfsense.
Vous pouvez ensuite activer l'accès à ces pages, via une connexion sécurisée SSL. Pour cela,
activer l'HTTPS. Entrez le port 443 dans webGui port (correspondant à SSL).
Vous pouvez ensuite modifier le serveur NTP et le fuseau horaire pour régler votre horloge.
Enfin, nous vous conseillons de changer le thème d'affichage de Pfsense. En effet, le thème par
défaut (metallic), comporte quelques bugs (problème d'affichage, lien disparaissant). Mettez
donc le thème "Pfsense".
V.3.1- Partie WAN
Après l'installation du logiciel Free BSD pfsense nous avons commencé par
configurer l’interface réseau WAN nous avons activé l’adressage dynamique (DHCP) et change
l’adresse IP par l’adresse 192.168.1.179 et donc cette adresse IP va nous permettre l’accès
à pfsense via son Internet.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 45 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.3.1 : Configuration de l’interface WAN


Ainsi que l'adresse IP de la passerelle qui est 196.168.1.254 vous pouvez le constatez ci-dessous

FIGURE V.3.1.1 : Statut du Gateway

V.3.2- Partie LAN


Nous allons maintenant configurer les interfaces LAN et WAN en détail.
Pour cela, allez dans Interface, Configurer ensuite la carte LAN (elle doit être normalement bien
configuré, mais vous pouvez faire des modifications par la suite ici) Configuration d’interface
Réseau LAN. Nous avons désactivé l’adressage dynamique (DHCP) et nous avons ajouté l’adresse
IP 192.168. 100.1

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 46 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.3.2 : Configuration de l’interface LAN

Allez ensuite dans la section DNS forwarder. Activez ensuite l'option Enable DNS forwarder. Cette
option va permettre à Pfsense de transférer et d'émettre les requêtes DNS pour les clients.

FIGURE V.3.2.1 : Configuration du DNS forwarder

Ainsi dans statut nous pouvons voir le résumé de nos configurations

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 47 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.3.2.2: Récapitulatif de la configuration des interfaces

V.3.3- Configuration du serveur DHCP


Il ne reste plus qu'à configurer le serveur DHCP pour le LAN, afin de simplifier la connexion des
clients. Pour cela, allez dans la section DHCP server.
Cochez la case Enable DHCP server on LAN interface. Entrez ensuite la plage d'adresse IP qui sera
attribuée aux clients. Dans notre cas, notre plage d'IP sera 192.168.100.2 – 192.168.101.254.
Voici donc ce que vous devriez avoir :

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 48 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.3.3: Configuration du serveur DHCP

Il faut par la suite entrer l'IP du serveur DNS qui sera attribuée aux clients. Ici, il vous faut entrer
l'IP du portail captif. En effet, nous avons définie plus haut que Pfsense fera lui-même les requêtes
DNS.
Pour finir, entrez l'adresse de la passerelle pour les clients. Celle-ci sera le portail captif :
192.168.100.1

V.3.4- Définition des règles du firewall


Pfsense étant aussi un firewall, il faut définir certaines règles élémentaires sur les interfaces
pour leur permettre de communiquer entre elles, et avec l'extérieur. Pour cela, aller dans
l'onglet Firewall puis dans la section Rules, puis sélectionner une interface sur laquelle on
veut définir des règles.

FIGURE V.3.4: vue sur Firewall


Ainsi sur l'interface LAN, il faut laisser les règles par défaut car elles autorisent tous les paquets IP
de source LAN à n'importe quelle destination. Pour le WAN, il faut modifier car tout est bloqué
par défaut, ce qui empêche les deux interfaces de se communiquer. Alors cliquer sur le symbole
« e » pour éditer une règle qui va permettre le passage des paquets du

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 49 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

WAN (INTERNET) vers le LAN (INTRANET). Pour cela, dans Action, choisir l'option PASS; dans
Protocol, choisir
ANY; dans Interface, sélectionner INTERNET ; dans Source, sélectionner INTERNET net puis dans
destination choisir INTRANET (figure V.3.4.1).
Dans certains cas il peut être nécessaire de définir des règles flottantes, c'est-à-dire des règles
indépendamment des interfaces. Pour cela, dans l'onglet Rules, puis dans le sous-onglet
Floatting, cliquer sur le symbole « e » pour éditer cette règle (le symbole «+» permet d'ajouter
une nouvelle règle et le symbole «x» permet de supprimer une règle).

FIGURE V.3.4.1: Règles sur l'interface WAN


Ainsi Pfsense est correctement configuré, mais pour le moment il sert uniquement de firewall et
de routeur. Il reste à activer l'écoute des requêtes sur l'interface LAN et contraindre les
utilisateurs à s'authentifier pour traverser le firewall.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 50 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

V.4- Paramètre généraux


La différence entre un simple Firewall et un portail captif réside dans le fait que le portail
captif ne refuse pas une connexion, il la redirige vers une page d’authentification. Les
identifiants de connexion (Login et Mot de passe) de chaque utilisateur sont stockés dans
une base de données qui est hébergée localement ou sur un serveur distant. Une fois
l'utilisateur authentifié, les règles de firewall le concernant sont modifiées et celui-ci ce voir
autorisé à utiliser son accès Internet pour une durée fixée par l'administrateur. A la fin de la
durée fixée, l'utilisateur se verra redemande ses identifiants de connexions afin d'ouvrir une
nouvelle session

V.5- Activation du portail captif

Voila, Pfsense est correctement configuré. Pour le moment il sert uniquement de Firewall et de
routeur. Nous allons maintenant voir comment activer l'écoute des requêtes sur l'interface LAN
et obliger les utilisateurs à s'authentifier pour traverser le Firewall.

Nous allons désormais voir la procédure afin de mettre en place le portail captif. Pour cela on se
rend dans l’entrée Captive Portal du menu Services. On modifie au moins :

 Enable captive portal coché


 Interfaces : LAN
 Authentication : RADIUS Authentication
 IP address par l’IP du serveur RADIUS
 Shared secret : la clé choisie lors de l’installation du serveur RADIUS
 Enable HTTPS login coché
 HTTPS server name correctement défini
 HTTPS certificate avec le certificat généré
 HTTPS private key avec la clé générée
 HTTPS intermediate certificate avec le CA.

Nous allons définir les temps à partir desquelles les clients seront déconnectés.

 Idle Timeout définit le temps à partir duquel un client inactif sera déconnecté automatiquement.
Nous l’avons mis à 60 minutes
 Hard Timeout définie le temps à partir duquel un client sera déconnecté quel que soit son état ;
définie à trois heures soit 1220 minutes

Ensuite, nous pouvions activer ou pas un pop-up qui va servir au client de se déconnecter.
Mais nous n’avons pas jugé utile de le faire.

 After Authentification Redirection URL : activé, pour rediriger le client authentifié vers une Url
donnée (ici la page d’accueil du site de l’hôtel PALMCLUB pour un peu de publicité !).
 Concurrent user logins : nous l’avons activé pour éviter que deux personnes se connectent avec le
même login. L’utilisateur pourra se connecter sur une seule machine à la fois. Ce qui permet de

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 51 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

limiter les usurpations d’identité pour se connecter. Il est possible ensuite de rediriger un client
vers une URL spécifique. Nous avons préféré de ne rien mettre afin de laisser la liberté au client
de gérer leur page de démarrage.Afterauthentication Redirection URL Le paramètre suivant,
permet d'éviter les redondances de connexions. En effet, l’utilisateur pourra se connecter sur une
seule machine à la fois. Cela va donc limiter les usurpations d'identité pour se connecter.

FIGURE V.5: Activation du portail

FIGURE V.5.1 : Paramètre de la page de redirection

Le portail captif de pfsense par défaut se présente comme suite :

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 52 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.5.2 : Portail captif pfsense par défaut

V.6- Opérations supplémentaires


V.6.1- Personnalisation du Portail Captif
Une fois cette configuration sauvegardée, le portail captif devrait être fonctionnel. On peut
aussi modifier la page d'accueil du portail pour l'adapter au besoin de l'entreprise (couleur de
fond, logo, slogan etc…), ainsi que la page de redirection (figure V.6.3) en cas d'échec
d'authentification en important un code HTML ou PHP dans les champs prévus à cet effet (figure
V.3.3). Tout ceci dans un souci de rendre plus conviviale la page captive.
V.6.2- Exportation et personnalisation du fichier html
L’exportation du code html du portail captif par défaut de pfsense se fait de façon très simple.
- se rendre sur le pfsense puis services : Captive portail : HOTEL_PALMCLUB, copié le code du
formulaire html voir figure V.6.2

FIGURE V.6.2 : exportation du code html du formulaire d’authentification

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 53 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

<form method="post" action="$PORTAL_ACTION$">


<input name="auth_user" type="text">
<input name="auth_pass" type="password">
<input name="auth_voucher" type="text">
<input name="redirurl" type="hidden" value="$PORTAL_REDIRURL$">
<input name="accept" type="submit" value="Continue">
</form>
le collé dans un éditeur de texte.
- A ce niveau nous pouvons traiter le code html a notre guise afin d’y apporter les modifications
nécessaire pour les besoins de l’entreprise.
Ceci peut se faire par l’ajout de couleur, de logo, textes de slogan, politique de confidentialité, la
charte etc…) voir annexe .
V.6.3- Importation du code html et des images
La mise en place de notre nouveau portail captif personnalisé consistera a exporté le fichier
modifier sous pfsense, pour cela, aller dans service puis captive portail se rendre sous l’onglet
portal page contents et charger le fichier html personnalisé. De même nous pouvons ajouter la
page d’erreur d’authentification dans l’onglet authentification error page content. Voir figure
V.6.3

FIGURE V.6.3 : Importation de code HTML

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 54 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Il est possible d'insérer des images telles qu'un logo de l’hôtel dans la page d'accueil.
Pour cela, aller dans le sous onglet File Manager pour télécharger l'image à afficher.
Toutefois la taille de cette image ne doit pas excéder 1MB (voir figure V.6.4).

FIGURE V.6.4 : Importation d'image

Le paramètre Pass-through MAC sert à définir les adresses MAC autorisées à traverser
Pfsense sans authentification. Allowed IP address sert à définir les adresses IP autorisées à se
connecter sans authentification. Allowed Hostnames sert à définir les noms d'hôtes autorisés à
traverser Pfsense sans authentification et Vouchers sert à définir les groupes d'utilisateurs
autorisés à se connecter à Pfsense. En revanche ces paramètres ne sont pas
utilhés à l'étape actuelle de l'étude.

Après importation de nos pages et image d'accueil, voici ce que nous obtenons:

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 55 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.6.5 : portail captif personnalisé

Ainsi le « authentification error page content se presente comme suit :

FIGURE V.6.6 : Page d’erreur de notre portail captif

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 56 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

V.7- Authentification et gestion des utilisateurs


V.7.1 - Authentification
L'authentification est un point essentiel de Pfsense puisqu'elle définit l'autorisation d'accès vers
l'extérieur; une sorte de portail physique fermé accessible par clé. Ainsi trois méthodes
d'authentification sont offertes:
- sans authentification (No authentification) : les clients sont libres ; ils verront le portail
mais il ne leur sera pas demandé de s'authentifier;
- authentification via un fichier local (Local User manager) : les paramètres des comptes
utilisateur sont stockés dans une base de données locale au format XML ;
- authentification via un serveur RADUIS (RADIUS Authentification) : à ce niveau, nous
avons le choix entre utiliser un serveur embarqué FreeRADIUS et utiliser un serveur
RADIUS distant du serveur PFsense.

Pour ce projet nous avons testé les trois types d'authentification avec succès et nous avons
retenu l'authentification Local User manager / Vouchers car non seulement cela permet de gérer
un grand nombre d'utilisateurs, mais aussi pour des raisons de sécurité. A ce stade, le portail est
déjà accessible, c'est-à-dire que pour un utilisateur qui se connecte au réseau local et à partir de
son navigateur, demande une page web, il sera redirigé vers la page captive qui lui demandera
de
s'authentifier avant d'avoir accès à la page demandée initialement.

FIGURE V.7.1 : Activation de l’authentification Local User Manager / Vouchers

 Sans authentification
À ce niveau d’authentification les clients sont libres, ils verront le portail mais il ne leur sera pas
demandé de s'authentifier;

 Authentification Via un fichier local

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 57 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Authentification via un fichier local (Local User manager) : les paramètres des comptes utilisateur
sont stockés dans une base de données locale au format XML ; ils pourront se connectés via le
login/Mot de passe ou par des tcikets (vouchers).
Il faut en premier lieu activer ou désactiver le compte en décochant ou en cochant la case
Disabled.
Il faut aller dans l'onglet System de la figure v.6.2 illustre cette partie. Puis dans la section User
Manager. Ici, on a une liste des utilisateurs existants dans la plateforme.

FIGURE V.7.1.1 : Liste des utilisateurs existant

V.7.2- Gestion des comptes utilisateur


Pour ajouter un nouveau compte avec :
 authentification Local User Manager,

Aller sur System, user Manager ensuite cliquez sur le symbole « + » et une nouvelle page s'ouvre
sur laquelle certains champs sont à compléter:
- entrer le nom d'utilisateur pour le compte utilisateur ;
- entrer le mot de passe à utiliser pour la connexion;
- entrer le nom complet pour le compte utilisateur;
- entrer la date d'expiration du compte au format indiqué;
- sélectionner le groupe dont le compte utilisateur doit faire partir (utilisateur ou
administrateur) ;
- cliquer sur «Save » pour enregistrer le compte.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 58 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.7.2.1 : Création d’un compte utilisateur dans User Manager

 Authentification via un code voucher

Pour des visiteurs, nous avons mis en place un champ de ticket qui permettra à ces derniers
d’avoir accès à internet grâce à des tickets dont le time de connexion est définit .Pour cela il faut
se rendre dans l’onglet Service ensuite captive portal maintenant cliquer sur voucher puis cocher
la case Enable voucher afin de l’activer comme l’indique la figure V.7.3.

FIGURE V.7.3 : Liste des vouchers créer

La gestion d’un vouchers se fait comme suit :


Se rendre dans l’onglet Services puis choisir captive portal après vouchers puis cliquez sur le
symbole « + » et une nouvelle page s'ouvre sur laquelle certains champs sont à compléter :
- roll # : permet de définir l’ID du ticket
- Minutes per ticket : permet de définir le temps en minute des tickets que l’utilisateur pourra
bénéficier de l’ouverture sur le WAN.
- Count : permet de définir le nombre de vouchers

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 59 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE V.7.3.1: création des vouchers

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 60 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

CHAPITRE VI :
PARAMETRAGE DE SECURITE ET TEST DES PACKAGE
DE PFSENSE

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 61 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Ce chapitre constitue la dernière phase de ce projet, durant laquelle nous allons essayer de
continuer la mise en place de Pfsense dans son environnement d’exécution. Nous allons
procéder au paramétrage des différent packages qu’il présente, tout en effectuant les divers
tests nécessaires à la vérification de la sécurité des multiples échanges au niveau de notre
réseau. Nous allons ainsi détailler quelque écran montrant les fonctionnalités les plus
importantes de l’application et les résultats des tests effectués.

VI.1- Préparation
Comme il a été présenté dans le chapitre IV, En premier lieu, on installe pfsense et on définit les
adresses des interfaces, en activant si nécessaire un serveur DHCP. Tout ceci peut se faire très
simplement avec la console pfsense. Puis, à l’aide d’une machine sur le LAN, on accède à
l’interface web de pfsense.

Par défaut, l’utilisateur est admin et le mot de passe est pfsense. Une fois connectée, configuré la
base du système avec l’outil Setup Wizard du menu System. Aller éventuellement modifier
l’interface WAN pour ajouter une passerelle par défaut. Ensuite, après avoir modifiez le nom et
le mot de passe du compte permettant de se connecter sur Pfsense. Vous pouvez ensuite activer
l'accès à ces pages, via une connexion sécurisée SSL. Pour cela, activer l'HTTPS. Entrez le port 443
dans webGui port (correspondant à SSL).

FIGURE VI.1 : Activation de HTTPS pour l'accès au webguid

Vous pouvez ensuite modifier le serveur NTP et le fuseau horaire pour régler votre horloge.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 62 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

VI.2- Génération des certificats


Pour que le portail soit sécurisé, on va utiliser une connexion HTTPS qui nécessite la création
d’une autorité de certification, d’un certificat et d’une clé privée. Pfsense inclut des outils
permettant de les créer en quelques clics. Pour cela on se rend dans l’entrée Cert Manager du
menu System. Dans l’onglet CAs, créer un nouveau CA et indiquer Create an internal CA comme
méthode. Compléter les informations et valider. Une fois créé, cliquer sur le bouton export ca sur
la droite, et noter quelque part le contenu du champ Certificate data.

FIGURE VI.2: Choix du type de certificat


Dans l’onglet Certificates, créer un nouveau CA et indiquer Create an internal CA comme
méthode. Dans le champ Certificate authority, vérifier que le certificat créé à l’instant est bien
sélectionné. Compléter les informations et valider.

FIGURE VI.2.1 : Paramètres du certificat

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 63 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Le champ Common Name doit correspondre au nom DNS du serveur. Une fois créé, cliqué sur le
bouton export cert sur la droite pour récupérer le certificat. De même, cliquer sur export key
pour récupérer la clé privée.

FIGURE VI.2.2 : Certificat téléchargé

VI.3- Gestion du filtrage


Le filtrage Web sera réalisé avec les logiciels squid et squidguard. Le filtrage est basé sur
plusieurs listes de domaines qui peuvent être placées soit en liste blanche (sites autorisés) soit en
liste noire (sites interdits).
VI.4- Gestion de la NAT
Le NAT (Network Address Translation) permet notamment de faire correspondre une seule
adresse externe publique visible sur Internet à toutes les adresses d’un réseau privé.Dans notre
cas, le NAT sera utilisé pour la connexion Internet.

VI.5- Serveur et Filtre Proxy : SQUID/SQUIDGUARD


L'installation de fonctionnalité supplémentaires se fait par l'installation de "packages" comme sur
toutes les distributions Linux. Par exemple avec Ubuntu nous avons l'habitude d'utiliser la
commande "sudo apt-get install NomDuNouveauPaquet" pour installer un nouveau paquet.

Il est nécessaire de tracer toutes les communications vers l'internet au sein des établissements et
pour cela, il va falloir installer des packages à pfSense. Ici tout se fait dans l'interface de gestion
WEB. Pour cela, il faut se rendre dans l'onglet "System" puis dans "Packages". Deux onglets
s'offre alors pour visualiser les paquets disponibles à l'installation et ceux actuellement installés.
Donc, dans la partie "Available Packages", nous allons rechercher les paquets "squid" et
"squidGuard". Par la suite, il vous suffira de cliquer sur le "+" à droite du paquet pour l’installer.

Attention : Bien attendre la fin de l'installation du package en cours avant de faire autre chose.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 64 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE VI.5 : Packages installés Squid/squidguard

VI.5.1- Blocage des sites web


Pour pouvoir utiliser les fonctionnalités du proxy, il faut ajouter les packages « Squid » et
« SquidGuard » puis configurer les blacklists, les différentes restrictions et éventuellement des
règles d’accès supplémentaires ACL (Access Control List).
Commençons par une présentation de nos packages :

 Squid : est un serveur proxy/cache libre très connu de monde Open Source et très
performant. Squid est capable de gérer les protocoles FTP, HTTP, HTTPS et Gopher. Il est
généralement utilisé pour des fonctions de filtrage d'URL ou en tant que tampon. Les pages
Internet sont stockées localement ce qui évite d'aller les recharger plusieurs fois et permet
d'économiser la bande passante Internet.Ce serveur est très complet et propose une
multitude d’options et de services qui lui ont permis d’être très largement adopté par les
professionnels, mais aussi dans un grand nombre d’école ou administrations travaillant avec
les systèmes de type Unix.
 SquidGuard est un filtre, un redirecteur et un plugin de contrôle d'accès pour Squid. Il va
notamment permettre d'appliquer sur un proxy une liste noire de sites ou mots clés interdits.
SquidGuard est publié sous GNU Public License, licence gratuite.
SquidGuard peut être utilisé pour :
- Limiter l’accès Internet pour certains utilisateurs à une liste de serveurs Web et /ou
des Urls qui sont acceptés et bien connus.
- Bloquer l’accès à des URL correspondant à une liste d’expressions régulières ou des
mots pour certains utilisateurs.
- Imposer l’utilisation de nom de domaine et interdire l’utilisation de l’adresse IP dans
les URL.
- Rediriger les URL bloquées à une page d’informations relative à Pfsense.
- Rediriger certaines bannières à un vide.
- Avoir des règles d’accès différents selon le moment de la journée, le jour de la
semaine, date, etc.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 65 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

VI.5.2- Configuration de Squid (proxy server)


Désormais, suite aux dernières installations. Deux onglets ont été ajoutés dans le menu
déroulant "Services". Il s'agit de Proxy Server et Proxy Filter, mais pour le moment, nous nous
tiendrons à Proxy Server et à sa configuration. Il s'agit de squid. Pour commencer, rendons-nous
dans le menu déroulant "Services" puis dans "Proxy Server". Dans la partie "General", Puis
remplir les champs comme suit:
- Proxy interface : affecter Squid à l’interface réseau LAN.
- Allow user on interface : valider (cocher) cette option pour l’interface choisie.
- Log store directory : /var/log : dossier contenant les autres logs.
- Proxy port : saisir 3128 qui est le port de proxy.
- Language : French.

Ne pas oublier de cliquer sur "Save" en bas de la page.

FIGURE VI.5.2 : Configuration de squid (proxy server)

A partir d'ici, l'accès à internet est encore inactif, afin de donner l’accès internet il faudra
instaurer dans la partie LAN des règles du Firewall la règle suivante.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 66 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE VI.5.2.1 : règle d’accès à l’internet


Nous allons donc poursuivre la configuration de squid en se rendant dans son onglet du menu
déroulant "Services" puis dans la partie "Access Control". La section "Allowed Subnets" est à
adapter en fonction de votre adresse réseau provenant de la carte LAN (192.168.100.1).

FIGURE VI.5.2.2 : configuration de l’Access control

VI.5.3 - Configuration de SquidGuard (proxy Filter)

Maintenant que squid est configuré, il nous reste à préparer SquidGuard. Ce dernier permettra
de filtrer et de contrôler les accès. Nous allons donc utiliser pour mettre en place ce filtrage, la
blacklist de l'université de Toulouse, cette dernière est assez complète et propose un champ
assez large de catégories afin de filtrer au mieux un sujet précis.

Passons à la configuration générale de SquidGuard. Nous rentrerons dans la première page de


configuration la blacklist dont voici l'adresse :

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 67 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

http://www.shallalist.de/Downloads/shallalist.tar.gz

Cette blacklist est une mise a jour datent du 24/02/2016 elle est absolument à essayer, elle
regroupe les éléments contenu dans la blacklist de Toulouse mais aussi des éléments venant de
diverses autres blacklist, ce qui l'a rend encore plus complète. Les catégories sont plus
nombreuses et ciblent mieux les besoins en cas de filtrage.

Dans le menu « Services →Proxy filter ».


Nous allons configurer les options suivantes :
- Enable : valider pour activer SquidGuard
- Blacklist : valider pour activer blacklist
- Blacklist URL : http://www.shallalist.de/Downloads/shallalist.tar.gz , Url de la blacklist

Ensuite nous sauvegardons et nous téléchargeons la blacklist. Première page à configurer,


rendez-vous dans le menu déroulant, puis dans "Proxy Filter" :

FIGURE VI.5.3 : Configuration des listes

Ensuite, nous allons nous rendre dans l'onglet "Blacklist" et ensuite cliquer sur "Downloading"
pour charger dans pfsense notre blacklist et son installation.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 68 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE VI.5.3.1 : téléchargement et installation de la blacklist

VI.5.4- Spécification de la Common Access List


Une fois le téléchargement et l'installation de la Blacklist est complété, il faut désormais se
rendre dans l'onglet Common ACL" et remplir la page (voir la figure VI.5.4). A ce niveau les
configurations des catégories nous permet de définir les catégories qui seront autorisés,
bloqués, ou liste blanche. Les paramètres de la liste d'accès commun seront applicables à tous les
utilisateurs du proxy. Si vous voulez appliquer des règles différentes à d'autres réseaux de la
source, vous devez utiliser l'onglet groupes de l'ACL.
En cliquant sur le bouton vert dans la barre rouge, nous pourrons spécifier notre configuration
de filtrage avec les catégories de la blacklist installé. Comme l’indique la figure VI.5.5 ci-dessous

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 69 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE VI.5.4 : spécification de la Common Access Control List

Dans le menu déroulant à côté de chacune des règles de cibles que nous avons le choix parmi
l'une des actions suivantes :

- Allow - Autorise l’accès à la catégorie cible moins bloquée par une autre règle ou l'exception.
- Deny - Bloquer tous les accès à des sites dans la catégorie cible.
- White List - Toujours autoriser l'accès à la catégorie cible.
Au niveau de l’’onglet Common ACL, nous configuron les options suivantes:
- Do not to allow IP adresses in URL :nous cochons cette option si nous voulons interdire
les adresses IP tapées directement dans l’URL.
- Redirect mode : laisser l’option par défaut « int error page »: Pour garder les messages
d’erreur par défaut .
- Redirect info : pour entrer un message d’erreur personnalisé, par exemple « Accés
interdit, cantacter votre administrateur »
- Enable log : nous cochons cette case pour enregistrer l’activité du service
Enfin nous enregistrons la configuration et nous cliquons sur Apply au niveau de l’onglet General
settings pour visualiser les options paramétrés.
NB : Il est recommandé de bloquer les adresses IP dans l'URL. Cela permet d'éviter que les
utilisateurs contournent le filtre en utilisant simplement l'adresse IP du site Web à la place de
l'URL.

FIGURE VI.5.5: Blocage des adresses IP dans l’URL

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 70 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

par défaut lorsqu'un utilisateur tente de visiter une page bloquée, ils verront une page d'erreur
interne indiquant que la page a été bloqué et qui cible la catégorie qu’elle relève éventuellement.

FIGURE VI.5.7 : Blocage d’un site indésirable

VI.5.5- Filtrage des sites web


Nous avons activé le paquet SquidGuard, nous allons ensuite ajouter les autres sites à filtrer.
Nous allons tester par exemple les sites:
- www.facebook.com
- www.youtube.com

Pour cela, nous nous sommes dirigés à l’onglet Target catégories (nous travaillons encore
sous le Proxy filter), puis nous mettons le nom du site, le nom du domaine et nous
activons le log et enfin, nous pouvons ajouter une description.

FIGURE VI.5.8 : Journalisation des filtrages dans la Target Catégories

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 71 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Lorsque nous avons terminé, nous cliquons sur le bouton « Save » et nous avançons au
dernier onglet « Common ACL » et nous mettons uniquement les sites choisis en mode «
deny ».
Nous avons testé l’accès au site filtré : www.facebook.com.
Nous avons obtenu le résultat du filtrage s’affiche dans la figure VI.5.9 : Le message suivant
s’affiche : « Request denied by pfsense proxy »

FIGURE VI.5.9 : Résultat du test d’interdiction d’accès

VI.6- Détection et Prévention d’Intrusion Réseau « SNORT »

SNORT est un outil open source de détection d’intrusion réseaux (NIDS). SNORT est
capable d’écouter sur une interface afin d’effectuer une analyse du trafic en temps réel,
de logger les paquets IP et de rechercher des correspondances de contenu ; le but étant
de détecter une grande variété d’attaques connues.
SNORT peut fonctionner en quatre modes différents :
- SNIFFER: capture et affichage des paquets, pas de log.
- PACKET LOGGER : capture et log des paquets.
- NIDS (Network Intrusion Détection System): analyse le trafic, le compare à des règles, et
affiche des alertes et ainsi détecter des tentatives d’intrusion réseau d’après des règles.
- IPS (Système de prévention d'intrusion): détection et prévention d’attaques et donc
empêcher les intrusions réseau détectées en suivant les mêmes règles.

Nous nous concentrerons sur les modes NIDS et IPS , qui nous rendent deux services bien
différents.

VI.6.1- Maquette de test


Voici la maquette qui nous permet de tester SNORT afin de mettre en avant ses fonctions de
NIDS et d’IPS :

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 72 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE VI.6.1 : Maquette de test de SNORT

VI.6.2- Installation et configuration de SNORT


La première étape est l’installation du package SNORT pour cela aller dans Pfsense puis
« Système ---Package » cliquer sur l’onglet Available Packages, dans la liste des packages présent
cherché SNORT puis cliquer pour l’installer. » Par la suite confirmer l’installation.

FIGURE VI.6.2 : Confirmation de l’installation

Après la confirmation la procédure de l’installation démarre

FIGURE VI.6.2.1 : Téléchargement et décompression du packages de SNORT

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 73 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Apres l’installation aller sur l’onglet Installed Packages et voyez dans la liste vous verrez votre
package installer.

FIGURE VI.6.2.2: Installation de package SNORT

La seconde étape importante est la création d’un compte sur http:/ /snort.org afin de pouvoir
récupérer les règles prédéfinies en temps voulu, nous y revenons par la suite.
L’interface étant maintenant paramétrée, nous allons configurer SNORT « Service  SNORT »

FIGURE VI.6.2.3 : Activation et configuration du service

Les paramètres de SNORT sont résumés sous forme de tableau :

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 74 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Interface Nous spécifions ici l’interface de pfSense sur laquelle SNORT écoutera
l’ensemble du trafic. conformément au schéma précédent :

Réseau LAN (INTRANET)


performance Nous indiquons ici la méthode de recherche utilisée par SNORT sur les
paquets analysés. «ac-sparse bands» est la méthode recommandée.

Oinkmastre code Code récupéré via notre compte sur SNORT.org qui nous permettrons
de télécharger les règles SNORT pré établies.

Snort.org subscriber Nous cochons cette case si nous utilisons un Oinkmaster code.
Block offenders Elément important de la configuration, puisque le fait de cocher
cette case bloquera automatiquement tout hôte déclenchant une
alerte sur l’interface d’écoute (fonction IPS de SNORT). Voir plus bas
pour des détails complémentaires.

Update rules Mise à jour automatique des règles SNORT.


authomatically
Whitelists VPNs uris to Ajouter automatiquement les VPN pré configurés dans pfSense à la
clickable links whitelist, afin d’éviter tout refus de connexion ou blacklistage.

Convert Snort alerts Les alertes apparaissent sous la forme de liens hypertextes.
uris to clickable links
Associate events on Lier la raison du blocage à l’hôte bloqué dans l’onglet « blocked ».
Blocked tab
Sync Snort Synchroniser la configuration de SNORT avec tous les membres du
configuration to cluster CARP s’il en existe un.
secondary cluster
members
TABLEAU VI.6.2 : Définition de paramètres

Nous validons ensuite en cliquant sur le bouton «Save» en bas de page. SNORT va ensuite
automatiquement télécharger les règles (premium rules) depuis Snort.org grâce à notre
Olinkmastre code.
Toutes les règles ainsi téléchargées sont regroupées sous forme de catégories dans
l’onglet «Categories». Nous sélectionnons celles qui correspondent aux attaques que
nous désirons détecter sur notre réseau. Afin de tester l’efficacité de la solution, nous
nous contentons de la règle «scan.rules» qui nous permettra de détecter et bloquer un
attaquant effectuant un scan de port sur hôte distant.
L’étape suivante consiste à paramétrer les règles présentent dans la catégorie que nous venons
de sélectionner.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 75 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE VI.6.2.4 : Spécification des catégories

Nous activons et paramétrons notamment la règle « SCAN nmap XMAS » afin de pouvoir
détecter un scan de port Nmap lancé depuis l’interface administrateur vers un hôte situé sur un
réseau distant (interface WAN (INTERNET)). La figure suivante illustre l’interface avant le test
au niveau de nos réseaux.

FIGURE VI.6.2.5 : Vérification des alertes


VI.6.3-Test de la solution
Un attaquant va effectuer un scan de port Nmap sur un hôte distant. Pendant toute la durée du
test, l’attaquant effectue, en parallèle du scan du port, un Ping vers la victime, afin de vérifier en
permanence la connectivité vers l’hôte et fixer le moment où il sera blacklisté par SNORT :
attaque détecté ET contrée.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 76 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE VI.6.3 : Test de la solution


Une fois le scan de port lancé, la station de supervisons peut très rapidement lancer des alertes
ainsi, l’adresse IP de notre attaquant, va être bloquée.

VI.7- Partage de la Bande Passante « TRAFFIC SHAPER »


La fonction « traffic shaping » de pfsense permet initialement d’optimiser la bande
passante en attribuant des priorités aux différents flux du réseau. Par exemple, nous
donnons une meilleure priorité aux flux VOIP par rapport au reste du trafic afin
d’optimiser les communications VOIP.
Nous allons voir comment mettre en place un autre aspect de la gestion de bande passante, à
savoir comment la partager entre plusieurs hôtes/réseaux selon nos besoins.
L’objectif va être de démontrer comment, à partir d’une connexion ADSL (2500Kbps
down, 463 Kbps up), nous pouvons offrir une portion de bande passante différente à
chacun nos deux clients, ou bien une bande passante limitée et partagée entre les deux
clients.
VI.7.1- Configuration de TRAFFIC SHAPER
Il y a deux étapes de base à la mise en place d’un limiteur de contrôle la bande
passante :
- Configurez les limiteurs que vous allez utiliser.
- Attribuer le trafic vers ces limiteurs.

A partir de ce moment, nous le vérifions la bande passante d’une manière très simple, via le
speedtest.net qui nous permet de calculer le débit descendant depuis une station.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 77 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE VI.7.1 : Teste de débit initial


Limiteur sont configurés en les créant sous « firewall -- Traffic Shaper », sur l’onglet limiter.
Nous pouvons utiliser un seul tuyau pour le traffic entrant, et sortant mais cela signifierait
que nous simulons une connexion half-duplex.
La méthode recommandée consiste à créer 2 tuyaux, l’un pour le trafic entrant et un pour le
trafic sortant. La méthode est à partir de la perspective de l’interface. Si nous utilisons des
limiteurs sur LAN (INTRANET), la file d’attente entrante est notre uploade et la file d’attente
sortante est notre téléchargement (download). Nous devons nommer les tuyaux
PublicDownload et PubliqueUpload.
Pour le tuyau PublicDownload nous avons choisi la valeur exemple (300kbps)

FIGURE VI.7.2 : Ajoute d’une limite de download ‘‘PublicDownload’’

Pour le tuyau PubliqueUpload nous avons choisi la valeur exemple (200kbps)

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 78 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE VI.7.3 : Ajoute d’une limite de download ‘‘PubliqueUpload’’

FIGURE VI.7.4 : Ajouter un Client


Une fois que nous avons installé un tuyau limiteur,l’étape suivante consiste à affecter le
trafic à en définissant l’ « in /out’’ dans un firewall rule.Rapplons-nous que dans et hors
du point de vue sont de cette interface sur le pare-feu.si nous choisissons limiteurs sur
l’interface

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 79 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Réseau LAN (INTRANET ) , ‘’out’’ est la vitesse de télechargement (le trafic du carte
réseau LAN sur le réseau local) et « dans » est la vitesse de télechargement (le trafic du
réseau local dans la carte réseau LAN).
Il suffit de créer les limiteurs de ne rien faire,nous devons les attribuer sur firewall rule pour
qu’ils soient utilisés.

FIGURE VI.7.5: Association des limiteurs au Client

Le resultat s’affiche comme le montre le figure suivante :

FIGURE VI.7.6 : Test de Bande Passante sur un client de Réseau INTRANET

VI.8- Supervision de la Bande Passante «NTOP »


Ntop est une sonde d’analyse du trafic réseau et nous permet ainsi d’avoir un œil sur
l’utilisation qui est faite en temps réel de notre réseau. Nous pouvons également le
qualifier de superviseur de bande passante, puisque nous pourrons afficher de manière
détaillée un ensemble d’éléments tels que la bande passante moyenne utilisée par un hôte
ou un réseau, les différents flux, leur type et leur sens (locallocal, localRemote…).

Nous ne détaillerons pas ici l’ensemble des fonctions et éléments visualisables via Ntop (beaucoup
trop nombreux), mais seulement les éléments qui nous montrent les plus intéressants pour
superviser au mieux son réseau. De même, la fonction permettant à NTOP de recevoir des
informations depuis une sonde NetFlow ne sera pas aborde.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 80 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

VI.8.1-Maquette de test
Ntop sera raccordé au cœur de notre réseau via un port miroir. Ce port miroir, aussi appelé
port monitoring, effectue une réplication de l’ensemble du trafic transitant via l’élément
actif sur lequel il est configuré (généralement un commutateur ou un châssis de cœur de
réseau). Ainsi, l’ensemble des paquets entrants et sortants sera redirigé vers notre Pfsense
avec Ntop en écoute.
Un port miroir se contente uniquement de dupliquer les paquets, ils ne sont en aucun cas remaniés,
ce qui nous permet de conserver les adresses, ports, etc.… d’origine. Voici ainsi la maquette
déployée pour traiter ce chapitre :

FIGURE VI.8.1-Installation et configuration

Nous avons commencé par le téléchargement et l’installation du package Ntop pour cela il faut se
rendre dans l'onglet "System" puis dans "Packages". Deux onglets s'offre alors pour visualiser les
paquets disponibles à l'installation et ceux actuellement installés. Donc, dans la partie "Available
Packages", nous allons rechercher les paquets "Ntop". Par la suite, il vous suffira de cliquer sur le
"+" à droite du paquet pour l’installer.

FIGURE VI.8.2 : Installation de package de ntop

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 81 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Dans le nouveau onglet qui s’affiche nous allons confirmer l’installation du package :

FIGURE VI.8.3 : Confirmation de l’installation

Suite à quoi la procédure d’installation va démarrer. A ce stade il ne faudra rien faire et laisser la
procédure se terminer

FIGURE VI.8.4 : Fin de l’installation de ntop


Une fois l’installation terminée, nous allons au menu « Diagnostics - ntop settings » pour
initialiser ntop et lancer le service correspondant. Nous avons configuré le mot de passe
« admin » pour accéder à la configuration avancée de ntop, ainsi l’interface d’écoute :

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 82 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE VI.8.5 : Configuration de compte d’administrateur


Puis nous devons aller sur « access ntop » ci-dessus, ou encore via le menu pfsense
« Diagnostics à ntop ») pour accéder aux statistiques générales du réseau LAN (INTRANET).

 La figure VI.8.6 montre les informations concernant Ntop (interface d’écoute, uptime, etc…)

FIGURE VI.8.6 : Interface d’écoute

 Un rapport concernant le trafic sur l’interface d’écoute (paquets, trafic, ou la charge)

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 83 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

FIGURE VI.8.7 : Le rapport de trafic

Sur l'interface de Ntop se trouvent beaucoup d'autres options qui ne sont pas détaillées ici.
Et pour finir, la configuration proprement dite de Ntop ne sera pas détaillée, mais reste
relativement simple et est fonction des besoins personnels tant l'outil tel qu'installé est déjà
entièrement exploitable. Dans tous les cas, le menu « admin » offre toutes les options
nécessaires pour personnaliser Ntop.

VI.8.3- Scénarios d’utilisation de NTOP


NTOP est très fournit en termes de menus et de données affichables. Nous allons donc
imaginer les scenarios classiques auxquels nous faisons face lorsque nous supervisons
notre réseau/bande passante.
Consomment de bande passante
Des lenteurs ont été constatées pour tout accès à Internet, que ce soit pour du download ou
de l’upload, et nous désirons contrôler l’utilisation que fait chaque hôte de notre
connexion a Internet.
Nous allons donc afficher un « top 10 » des hôtes les plus gourmands en bande passante Internet.
Pour ce faire :
1. Sélectionner all protocols  traffic
2. Dans ‘hosts’ choisir ‘Local Only’
3. Dans ‘data’, choisir au choix ‘received’ ou ‘sent’
4. Et enfin le VLAN concerne ou la totalité du réseau

FIGURE VI.8.10 : Interface des hôtes connectés

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 84 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Nous affichons ainsi l’ensemble des hôtes et les quantités de données reçues et/ou
envoyées. Il ne reste plus qu’à cliquer sur « data » pour afficher les plus gros
consommateurs en tête de liste. Dans chaque fenêtre NTOP de ce type, nous cliquant sur
le nom ou l’adresse d’un hôte, nous pourrons accéder à toutes ses statistiques
détaillées.

VI.9- COUT DE L’IMPLEMENTATION


Rapport
Désignation Cout en franc CFA
Coût du matériel 450000
Apport technique 1500000
Formation de l'administrateur 800000
Total 2750000
Tableau VI.9 : Coûts d'implantation

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 85 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Conclusion Générale

La mise en place de cette solution ne s'est pas faite sans embuche. En effet pour pouvoir réaliser
ce projet de bout en bout, nous avons dû faire preuve d'un auto-apprentissage acharné en ce qui
concerne le monde UNIX/FreeBSD. Nous avons testez une multitude de solutions de portails
captifs et tous sont ciblés pour une utilisation particulière. Nous avons également vu que l'on peut
choisir un portail qui se paramètre via le site web du constructeur, un autre qui est intégré au point
d'accès, etc. ... ce qui fait autant de possibilités que de solutions.

Pour Hôtel PALMCLUB, il a fallu pondérer la demande. Aussi après comparatif et test, Pfsense
est le meilleur compromis. Cette solution de portail captif est stable, simple d'utilisation,
modulable, évolutive et sécurisée.

Sécuriser Pfsense fût, et est encore aujourd'hui la partie ou nous avons passé le plus de temps.

Mettre en place un portail captif est une chose, mais il faut en assurer la sécurité. Alors que les
problèmes de sécurité deviennent de plus en plus importants dans les réseaux, et notamment sur
Internet, il convient d'être conscient des forces et des limites du portail captif, et des autres
solutions existantes afin d'assurer le meilleur rapport praticabilité/sécurité.

Le portail captif est particulièrement adapté à des accès réseaux pour de nombreuses personnes,
généralement de passage : il garantit une facilité d'utilisation par le client, qui a priori n'aura
besoin d'aucun support de la part de l'équipe technique qui sera responsable du portail.

L’administration réseau est un travail complique. Le métier veut que l’on doive souvent maîtriser
différentes technologies et les faire travailler ensembles. La tâche se complique encore si
l’administration et la configuration de tout cela se fait manuellement.
En ce sens nous avons vérifié à travers ce rapport que PfSense répond à ces interrogations.
Cet Outil est en effet un gestionnaire central d’outils réseaux. On peut ainsi faire travailler
ensemble un pare feu, un routeur, un serveur VPN, un Proxy, un outil de détection d’attaque
réseau etc. Le tout sur un seul et même Serveur. On peut par exemple créer très facilement des
« Backups » pour ne pas se retrouver avec un seul point névralgique dans notre réseau… Bref
nous pensons que PfSense est voue à exister et se développer.
Nous avons mis en place et testé certains services (les principaux pour être précis) de Pfsense.

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 86 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Netographie

http://doc.entrouvert.org/uauth/configuration-pfsense.html
vue le 16/02/16
http://www.memoireonline.com/09/09/2713/m_Mise-en-place-dun-reseau-Wi-Fi-avec-
authentification-basee-sur-des-certificats0.html
20-02-16
https://un4matiqueproject.wordpress.com/documentation/mise-en-place-dun-portail-captif-via-
pfsense/
vue le 21/02/16
http://www.profetice.org/spip.php?article433
vue le 21/02/16
http://www.bornetvalentin.fr/wp-content/uploads/2015/02/Installation-portail-captif.pdf
29/02/16
http://www.formation-informatiques.fr/cours/BTSSIO/portail_captif.pdf
vue le 03/04/16
https://fr.wikipedia.org/wiki/Pfsense
06/03/16
http://sen-louis-armand.fr/index.php?id=94
15-03-16
http://drtic.educagri.fr/wp-content/uploads/2013/09/DOC-Portail-Captif-Pfsense.pdf
vue le 30/03/16
http://elixirr.free.fr/telechargement/reseau/parefeu/pfsense/Tutorial-PfSense-Francais-
1v1.0.pdf
vue le 30/03/16
http://reseaux85.fr/index.php?title=Reseau:pfsense
02-04-16
http://barthelemyfabien.free.fr/media/M%C3%A9moire_FB.pdf
03/04/16
http://lagourde.free.fr/Rapport%20Arcachon/Tutorial%20Pfsense.pdf
13/04/16

http://www.memoireonline.com/
http://www.forumofppt.com/search?search_keywords=rapport+pfsense&search_where=f104

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 87 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

ANNEXE

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 88 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

Annexe : personnalisation du code html

Apres avoir exporter le code html de la page d’authentification par defaut de pfsense nous y
avons ajouter nos modification comme suite :

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<script>
function blink(ob)
{
if (ob.style.visibility == "visible" )
{
ob.style.visibility = "hidden";
}
else
{
ob.style.visibility = "visible";
}
}
setInterval("blink(bl)",500);
</script>
</head>

<body>
<center>
<form method="post" action="http://192.168.100.1:8002/">
<input name="redirurl" type="hidden"
value="http://go.microsoft.com/fwlink/?LinkID=219472">
<input name="zone" type="hidden" value="hotel_palmclub">

<table cellpadding="6" cellspacing="0" width="767" height="380" style="border:1px solid


#000000;">
<tr height="10" bgcolor="#1C8A0B">
<td width="753" style="border-bottom:1px solid #000000">
<font color='white'>
<b>
<align='center'> <em>
<MARQUEE style=" font-size:14px; font-family:Verdana, Geneva, sans-
serif;">
PALMCLUB HOTEL, L'HOSPITALITE IVOIRIENNE
</MARQUEE>
</em>
<MARQUEE>

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 89 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

</MARQUEE>
</align>
</b>
</font>
</td>
</tr>
<tr>
<td>
<div id="mainlevel">
<center>
<table width="100%" border="0" cellpadding="5" cellspacing="0">
<tr>
<td>
<center>
<div id="mainarea">
<center>
<table width="100%" border="0" cellpadding="5"
cellspacing="5">
<tr>
<td>
<div id="maindivarea">
<center>
<div id='statusbox'>
<font color='red' face='arial'
size='+1'>
<b>

</b>
</font>

<img src="captiveportal-logo2.png" width="350" height="102" alt=""


longdesc="logo2.png" style="margin-top:-10px;"> </div>
<br />
<div id='loginbox' style="background:
#CCC; border-radius:10px;">
<table width="515">
<tr><td colspan="2"><center>
<strong style="text-
align:center; font-size:14px;">Contrôle D'accès Au Reseau PALMCLUB</strong></td></tr>
<tr>
<td width="115"><strong
style="color: #00C; font-size:18px;">Entrez votre:</strong></td>
</tr>
<tr><td height="51"
align="right" style="text-align:left;">Login :</td><td width="388"><input name="auth_user"

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 90 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

type="text" value="Entrez le LOGIN" size="55" height="35" style="border: solid 1px black; color:
#008000; border-radius:5px"></td></tr>
<tr><td height="59"
align="right" style="text-align:left;">Mot de Passe:</td><td><input name="auth_pass"
type="password" placeholder="Entrez un pseudo" size="55" height="35" style="border: 1px
dashed; color: #EAEAEA"></td></tr>
<tr>
<td align="right" style="text-align:left;">&nbsp;</td>
<td>&nbsp;</td>
</tr>
<tr>
<td align="right" style="text-align:left;"><strong style="color: #00C; font-
size:18px;">ou votre ticket</strong></td>
<td></td>
</tr>
<tr>
<td align="right" style="text-align:left;">&nbsp;</td>
<td>&nbsp;</td>
</tr>
<tr>
<td align="right" style="text-align:left;">Ticket:</td><td><input
name="auth_voucher" type="text" style="border: 1px dashed;"></td></tr>
<tr><td>&nbsp;</td></tr>
<tr>
<td
colspan="2"><center><input name="accept" type="submit" value="Se
Connecter"></center></td>
</tr>
</table>
</div>
</center>
</div>
</td>
</tr>
</table>
<p><div>
<p id="bl" style="visibility: visible"> <font size=+1 color=red> Politique de securité du
reseau PALMCLUB</font></p>
<ul class="pages" style="text-align:left; font-size:12px; color: #333;
border:1px dashed #000000; padding:15px; ">
<li> Pour tous problémes de connexion ou d'authentification veuillez contacter le service
<strong style="color: #000">INFORMATIQUE</strong> a ce numero : <strong
style="color:red">56 99 37 77.</strong></li>
<li>ce contrôle a été mis en place pour assurer réglementairement la traçabilité, l'imputabilité
et la non-repudiation des connexions.</li>

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 91 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

<li>les données enregistrées ne pourront être exploitées que par une autorité judiciaire dans
le cadre d'une enquête.</li>
<li>Votre activité sur le reseau est enregistrée conformément au respect de la vie privée.</li>
</ul>
</div></p>

</center>
</div>

</td>
</tr>
</table>
<p><table width="296" border="0" style="margin-left:-400px;px;">
<tr>
<td height="52" bgcolor="#1C8A0B" style=" font-size:14px; font-family:Verdana, Geneva, sans-
serif; color:#FFF; text-align:center;"><strong>NOS SERVICES :</strong></td>
</tr>
<tr>
<td>&nbsp;</td>
</tr>
<tr>
<td height="52" bgcolor="#1C8A0B" style=" font-size:14px; font-family:Verdana, Geneva, sans-
serif; color:#FFF; text-align:center;border-radius:10px"><strong>HEBERGEMENTS</strong></td>
</tr>
<tr>
<td height="52" bgcolor="#1C8A0B" style=" font-size:14px; font-family:Verdana, Geneva, sans-
serif; color:#FFF; text-align:center;border-radius:10px"><strong>RESTAURATION</strong></td>
</tr>
<tr>
<td height="52" bgcolor="#1C8A0B" style=" font-size:14px; font-family:Verdana, Geneva, sans-
serif; color:#FFF; text-align:center;border-radius:10px"><strong>EVEMENTS</strong></td>
</tr>
<tr>
<td height="52" bgcolor="#1C8A0B" style=" font-size:14px; font-family:Verdana, Geneva, sans-
serif; color:#FFF; text-align:center;border-radius:10px"><strong>PISCINE</strong></td>
</tr>
<tr>
<td height="52" bgcolor="#1C8A0B" style=" font-size:14px; font-family:Verdana, Geneva, sans-
serif; color:#FFF; text-align:center; border-radius:10px;"><strong>BLANCHISSERIE </strong></td>
</tr>
</table>
</p>
<p><div id="droite" style="width:300px; height:360px; float:right; margin-top:-365px;">

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 92 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

<table width="296" border="0">


<tr>
<td height="52" bgcolor="#1C8A0B" style=" font-size:14px; font-family:Verdana, Geneva, sans-
serif; color:#FFF; text-align:center;"><strong> VUE D'ENSSEMBLE :</strong></td>
</tr>

<tr>
<td><marquee onMouseOver="this.stop()" onMouseOut="this.start()" behavior="loop"
width="290" loop="-1" direction="left" height="230" scrollamount="11" scrolldelay="1">
<img src="captiveportal-1.jpg" width="290" height="290">&nbsp;&nbsp;
<img src="captiveportal-2.jpg" width="290" height="290">&nbsp;&nbsp;
<img src="captiveportal-3.jpg" width="290" height="290">&nbsp;&nbsp;
<img src="captiveportal-4.jpg" width="290" height="290">&nbsp;&nbsp;
<img src="captiveportal-5.jpg" width="290" height="290">&nbsp;&nbsp;
<img src="captiveportal-6.jpg" width="290" height="290">&nbsp;&nbsp;
<!-- <img src="captiveportal-7.jpg" width="290" height="290">&nbsp;&nbsp;-->
<img src="captiveportal-8.jpg" width="290" height="290">&nbsp;&nbsp;
<img src="captiveportal-9.jpg" width="290" height="290">&nbsp;&nbsp;
<img src="captiveportal-10.jpg" width="290" height="290">&nbsp;&nbsp;
<img src="captiveportal-11.jpg" width="290" height="290">&nbsp;&nbsp;
<!-- <img src="captiveportal-12.jpg" width="290" height="290">&nbsp;&nbsp;-->
<!-- <img src="captiveportal-13.jpg" width="290" height="290">&nbsp;&nbsp;-->
<img src="captiveportal-14.jpg" width="290" height="290">&nbsp;&nbsp;
</marquee></td>
</tr>
<tr>
<td>&nbsp;</td>
</tr>
<tr>
<td>&nbsp;</td>
</tr>
<tr>
<td>&nbsp;</td>
</tr>
<tr>
<td>&nbsp;</td>
</tr>
</table>
</div></p>
</center>
</div>
</td>
</tr>
</table>

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 93 -


Étude et implémentation d'une solution sécurisée d'accès internet par portail captif : cas de l’hôtel PALMCLUB

</form>
</center>
</body>
</html>

Bamba Bamoussa - INGENIEUR INFORMATIQUE - INP HB/ EFCPC 2016 - 94 -