SITA MAROC

SITA MAROC
En cadrés par :
 Mr. ETTIJANI

Sur le thème :

Installation et mis en service d’un

firewall et Portail Captif

Réalisés par :
 Amine JEMJAMI
 Essalek SKHOUNE

Filière 2 TRI GE
2013/2014

1
 SITA MAROC

Sommaire
Remerciement ................................................................................................... 4
Dédicace ……………………………………………………………………………………….5
Introduction ........................................................................................................ 6
CHAPITE 1 : Présentation de l’entreprise ............................................................................. 7
1. Historique de la société : ................................................................................................ 8
1.1) Présentation de l’entreprise : .................................................................................... 8
1.2) Présentation du lieu de stage : .................................................................................. 9

CHAPITRE 2 : Cahier des charges .................................................................................... 111

3. Etude et analyse d’existante…………………………………………………………….12
4. Cahier des charges ...................................................................................................... 123
4.1) Avant propos : Pourquoi un portail captif ? ......................................................... 133
4.2) Fonction type d’un portail captif :........................................................................ 134
4.3) Résumé de la proposition ..................................................................................... 144
CHAPITRE 3 : Etude des Solutions .................................................................................. 155
Planning………………………………………………………………………………………16
5. Etude des solution ...................................................................................................... 167
5.1) Tableau comparatif et analyse.............................................................................. 167
5.2) Analyse rapide : ................................................................................................... 188
5.3) Orientation du choix ............................................................................................ 188
CHAPITRE 4 : Mise en place de la maquette PfSense ...................................................... 199
6. Mise en place de la maquette PfSense ......................................................................... 20
6.1) Architecture générale ............................................................................................. 21
6.2) Installation de PfSense ........................................................................................... 21
6.3) Configuration de PfSense..................................................................................... 255
6.3.1- Les principaux paramètres ............................................................................... 255
6.4) Le portail captif ...................................................................................................... 30
6.4.1- Paramètres généraux .......................................................................................... 30
6.4.2- Test en local ....................................................................................................... 31

2
 SITA MAROC

6.5) L’authentification ................................................................................................... 37

6.6) RADIUS sous Windows Server 2003 Enterprise Edition ...................................... 39
CHAPITRE 5: Le test et mise en service portail captive ................................................. 26
CONCLUSION ................................................................................................. 49
Webographie ................................................................................................... 50

3
 SITA MAROC

Remerciements

Avant de commencer ce rapport Nous remercions nos parents qui

nous ont soutenus tout au long de nos études.

Nous tenons également à remercier Mr. ETTIJANI qui n'a pas hésité
à nous fournir les informations nécessaires.

De même nous tenons à exprimer notre gratitude et notre

reconnaissance à nos formateurs à l'institut spécialisé de technologie
Appliqué ISTA NTIC SYBA à Marrakech pour leurs conseils et les
connaissances qui ont partagés avec nous, Ainsi que tous les
stagiaires de 2TRI groupe E.

4
 SITA MAROC

Dédicace :

A notre raison de vivre, d’espérer,

A notre source de courage, à ceux qu’on a de plus chères,

Nos petites familles,

Pour leurs sacrifices sans limite,

A nos enseignants

Pour leurs patience, leurs soutien

Et leurs encouragements

Et à nos amis

Pour leur témoigner une amitié et fidélité indéfinies

5
 SITA MAROC

Introduction

Le stage est la période la plus importante pour accéder dans le monde

du travail pour les stagiaires, il constitue le prolongement de notre
formation dans ISTA NTIC de Marrakech, cette période nous permet
de toucher le côté pratique afin d’employer toutes nos connaissances
et notre savoir-faire durant notre formation. En raison, ISTA NTIC de
Marrakech prévoie à la fin de la formation un stage d’un mois et 10
jours terminé par un rapport de stage.
Pour cela, nous avons effectué un stage de fin de formation dans la
société international de télécommunication aéronautique (SITA Ŕ
Maroc) en vue d’améliorer et de frotter nos compétences
intellectuelles et techniques acquises durant la formation à L’ISTA.
Dans notre rapport nous allons traiter deux parties; la première
contient une présentation générale de l’entreprise, son organigramme
et les travaux que nous avons effectués, et la deuxième contient le
thème Mise en Œuvre d'un Portail Captif sur un réseau WIFI Nous
espérons que cette façon de présentation donnera une vue générale
sur notre expérience.

6
 SITA MAROC

Dans le cadre de notre stage au sein de la société international de

télécommunication aéronautique SITA on a réussie à la mise en place
d’un firewall suite à un stage d’un mois et 10 jours.
Ce travail a été une opportunité qui nous a permet d’exercer et
d’appliquer les acquis soulevés de notre formation et de nous donner
une approche pratique sur le domaine professionnel.
Notre projet vise à répondre aux besoins informatiques et à remédier
aux problèmes d’exploitation réseau connus par la société afin de
garantir la sécurité et la fiabilité du système et maintenir sa qualité, sa
fiabilité et sa disponibilité.
La 1ère partie de notre projet présente un aperçu sur la société SITA
et une étude préalable de son existant afin de détecter les défaillances
qui va nous permettre de définir les problématiques et les besoins.
Sur la 2ème partie, on a présenté une solution permettant de remédier
au besoin soulevé sur la partie précédente.
La dernière partie présente et décrit la mise en place de la solution
proposée.

7
SITA MAROC

CHAPITE 1 :
Présentation de
l’entreprise

8
 SITA MAROC

1. Historique de la société :

1.1. Présentation de l’entreprise :

La Société internationale de télécommunication aéronautique (SITA) est une

organisation internationale qui fournit des services de communications et des services
informatiques à l'industrie aéronautique.

o SITA possède le plus vaste réseau privé international qui couvre 220 pays et
territoires.

o SITA est une coopérative de droit belge sans profit.

o SITA emploie environ 4000 personnes dans le monde, de 140 nationalités

différentes et parlant 70 langues.

Fondée en 1949 par 11 compagnies aériennes, le premier but de SITA était de mettre
en commun les équipements de communication existants des compagnies aériennes de
sorte que tous les utilisateurs puissent tirer profit d’une infrastructure partagée.
Une des premières tâches de SITA fut de fournir des communications directes entre les
aéroports européens principaux, faisant de SITA un pionnier dans les
télécommunications internationales. Les services de communication étaient initialement
seulement accessibles aux membres de IATA (L’Association internationale du transport
aérien (ou IATA, en anglais International Air Transport Association ou IATA) est une
organisation commerciale internationale de sociétés de transport aérien. Ces entreprises
sont spécialement autorisées à consulter les prix entre elles par l’intermédiaire de cet
organisme), mais maintenant SITA sert plus de 640 membres dont 500 compagnies
aériennes, la plupart des centres de réservations de voyages, les aéroports, compagnies
aériennes, fret et des organisations gouvernementales partout dans le monde.

1.2. Présentation du lieu de stage :

SITA est une organisation internationale comme on a fait signe dans l’historique ci-
dessus et heureusement il y a une branche dans l’aéroport international de Marrakech
Menara et ce dernier est certifié par l’ISO 2008-9001 pour ça bonne qualité de ces
services, alors nous nous entrainons ici au sein de l’organisation SITA pour réaliser
notre projet de fin de formation, qui permet de contrôler l’accès au réseau. Nous avons
l’honneur de réaliser notre stage pour la fin de notre formation mais pas la fin de notre
carrière dans le domaine parce que c’est une démarche vers un futur d’ingénierie afin

9
 SITA MAROC

de choisir notre chemin unique pour les réalisations de nos objectifs. Nous nous
souviendrons toujours de ce stage parce que nous avons appris beaucoup de chose que
ça soit techniquement ou théoriquement dans le domaine d’informatique et avons
corrigé tous nos savoirs à l’aide de notre encadrant en stage.

10
SITA MAROC

CHAPITRE 2 :
Cahier des charges

11
 SITA MAROC

2 Etude et analyse de l’existant : infrastructure

physique et logique
Avant la proposition des solutions, la planification des dates et les charges des
travaux à réaliser, il était important d’analyser et de comprendre
l’infrastructure existante et les outils de travail actuel.

L’infrastructure existante:

12
 SITA MAROC

3 Cahier des charges

2-1) Avant-propos : Pourquoi un portail captif ?

La problématique rencontrée dans les Entreprise est la sécurisation du point d’accès

sans fils ainsi que la difficulté pour l’administrateur à gérer tous les utilisateurs qui
souhaite s’y connecter.
La mise en place d’un portail captif permet à l’administrateur de gérer l’authentification
et le temps de chaque utilisateur,
De plus, grâce au portail captif, le wifi n’aura plus de clefs de protection, mais les
utilisateurs seront redirigés vers une page web d’authentification
La technique Portail captif force un client HTTP sur un réseau à afficher une page web
spéciale (le plus souvent dans un but d'authentification) avant d'accéder à Internet
normalement. Cette vérification est sommaire et les méthodes de contournement
nombreuses. Cependant, cette solution est utile puisqu'elle permet de limiter les
utilisations abusives des moyens d'accès. C'est par exemple le cas des points d'accès Wi-
Fi qui sont souvent protégés par ce genre de solution.
En pratique, dès qu’un terminal (PC, tablette, Smartphone) est connecté au réseau
radio-WiFi, l’ouverture d’un « navigateur » ouvre une page WEB qui demande la saisie
d’un code unique, « un nom d’utilisateur » et « un mot de passe » inscrits sur un ticket.
Une fois ces informations saisies, l’accès à l’Internet est alors libéré pour une durée et
une validité paramétrable. Et lorsque la durée prévue est consommée (en une ou
plusieurs fois), l’utilisateur est de nouveau bloqué et il doit se procurer un nouveau
ticket pour se reconnecter.

Fonction d’un portail captif :

Client : http://www.google.com en passant par le portail

Portail : redirection vers la page d’authentification locale

Client : Login + Mot de passe

SI OK : client : http://www.google.com

Remarque : Maintenant il faut que cette redirection fonctionne avec tous les protocoles applicatifs.

13
 SITA MAROC

Interprétation : Quoi que désire faire le client, s’il veut naviguer sur le WEB il devra d’abord
passer par le portail captif afin de s’authentifier.
La différence entre un simple Firewall et un portail captif réside dans le fait que le portail captif
ne refuse pas une connexion, il la redirige vers une page d’authentification.

1.1) Résumé de la proposition

Résumé de la proposition :
Titre : Mise en œuvre d’un portail captif pour le filtrage et l’authentification Wifi
Résumé du travail attendu :
L’objectif est de mettre en œuvre un filtrage IPTABLES dynamique en assurant l’authentification et la
gestion de services à partir de client Wifi.

14
SITA MAROC

CHAPITRE 3 :
Etude des Solutions

15
 SITA MAROC

2. Planning :
Afin de détecter les problématiques et proposer les solutions utiles
permettant ses résolutions, on a consommés les charges mentionnées sur le
diagramme ci-après :

Table Diagramme :

3. Etude des solutions :

3.1) Tableau comparatif et analyse

Nous avons récupéré une liste des principaux portails captifs libres et comparer ces derniers.

16
SITA MAROC

Tableau de comparatif les portails captif libre :

17
 SITA MAROC

3.2) Analyse rapide :

Tableau d’analyse rapide :

3.3) Orientation du choix

Au vu de ce comparatif PfSense apparaît comme le meilleur compromis entre portail captif

 En effet c’est cette solution qui répond le mieux aux critères de

 Disponibilité (Base Free BSD, load balancing, etc..)
 Confidentialité (HTTPS Web GUI, HTTPS authentification, IPSEC, PPTP, etc...)
 Audibilité (Statistique très nombreuses avec ntop, etc…)
 Mise à jour (système upgradable sans réinstallation, packages téléchargeables directement
depuis le Web GUI, etc…).
 Simplicité d’administration, d’installation
 Autonomie complète

18
SITA MAROC

CHAPITRE 4 : Mise
en place de la
maquette PfSense

19
 SITA MAROC

4. Mise en place de la maquette PfSense

4.1) Architecture générale

Matériel :
 Un PC avec 500Mo de disque dur, 64Mo de RAM (128 Mo conseillé), PII 266 MHz minimum,
au moins 2 cartes réseaux (on peut également en mettre plus si l'on désir créer des DMZ).
 Un serveur Microsoft 2003 entreprise Edition
 Un Point d’accès Wifi
 Un client avec carte WIFI
 Un autre PC pour l’administration
Architecture cible :

Architecture Proposer :

20
 SITA MAROC

4.2) Installation de PfSense

Après avoir récupérer votre matériel l’installation peut commencer. A noter qu’il est impossible d'installer
Pfsense sur un disque contenant une partition Fat16/32, NTFS ou autres. Le disque dur devra être
formaté pendant l’installation.
Nous avons effectué l'installation décrite ci-dessous sur un logiciel appelé VMware. Ce logiciel nous
permet de créer des ordinateurs virtuels et de les relier par réseaux virtuels.
Voici donc la configuration de notre "laboratoire" sous VMware :

Passons maintenant à l'installation de PfSense.

Il existe 2 façons de faire marcher le portail captif :
 Sur le disque dur
 Via un Live CD
Cette dernière solution est très rapide et efficace. Le chargement se fait automatiquement ainsi que sa
configuration. Mais elle possède tout de même des inconvénients :
 Chargement long
 Configuration stockée sur disquette (les disquettes sont peu fiables)
 Impossibilité d'ajouter des "packages" (logiciels), on ne peut pas toucher à la structure du CD.
Nous avons donc utilisé le Live CD pour comparer les différents portails captifs, mais pour une
implantation dans un réseau, il vaut mieux l'installer sur un disque dur.

Installation sur le disque dur :

Tout d'abord, vérifier que votre ordinateur possède les caractéristiques requises, puis insérer le cd au
démarrage de votre machine.

21
 SITA MAROC

Vous allez ensuite avoir l'écran de démarrage de FreeBSD. Vous avez plusieurs choix possibles. Vous
allez ici mettre l'option 1 (défaut) ou bien attendre que le compte à rebours termine.

Ensuite vient la configuration des interfaces réseaux. Vous remarquerez ci-dessous que FreeBSD
détecte le nombre de carte réseau, et y attribue des noms (Valid interface are : le0 et le1 dans notre
cas).

Choisissez donc quel interface sera le LAN et l'autre le WAN (ici LAN: le1, WAN: le0).

22
 SITA MAROC

Si vous voulez créer des DMZ, il faut les ajouter dans Optionnel interface juste après. Sinon ne mettez
rien et appuyer sur entrer.

Nous avons ensuite un récapitulatif de la configuration et devons la valider en tapant "y".

FreeBSD charge ensuite et nous entrons dans le menu.

Nous allons donc passer à l'installation sur le disque dur en tapant le choix "99".

Note: Nous possédons ici la version Beta3 de Pfsense, à la fin du projet nous avons fait la mise à jour
vers la Beta4. Cependant, l'installation reste exactement la même.

23
 SITA MAROC

L'installation qui va suivre se fait en acceptant toutes les options par défaut. Il suffit d'accepter toutes les
demandes (formatage si nécessaire et création de la partition). Cependant, vous trouverez en annexe le
détail étape par étape en cas de problème.

24
 SITA MAROC

Une fois l'installation terminée, retirer le cd et redémarrer la machine.

Si tout c'est bien déroulé, vous devriez atteindre à nouveau le menu de Pfsense sans le cd.

Pfsense est en marche. Vous pouvez le configurer ici même via le Shell (ligne de commande) ou bien
via une interface graphique (http) en connectant un PC sur la carte associé au LAN.

4.3) Configuration de PfSense

6.3.1- Les principaux paramètres

Nous allons maintenant configurer PfSense.

Avant tout, nous vous conseillons de changer l'IP sur la machine de PfSense directement, pour plus de
simplicité par la suite. Pour cela, dans le menu de PfSense, tapez le choix 2 Set LAN IP adresse.
Entrer l'adresse IP correspondant à votre LAN.

25
 SITA MAROC

Nous allons pouvoir maintenant configurer Pfsense via l'interface Web.

Connectez une machine sur la carte réseau de Pfsense (coté LAN, tout est bloqué coté WAN par
défaut).
N'oubliez pas de changer l'IP de votre machine.
Ouvrez ensuite votre navigateur Web, puis entrez http://ip_pfsense.
Dans notre cas, nous ferons http://10.10.10.1/
Entrez ensuite le login (par défaut admin, mot de passe : pfsense).
Allez ensuite dans System, puis General Setup.

26
 SITA MAROC

Ici se trouve la configuration générale de Pfsense. Entrez ici le nom de la machine, le domaine et l'IP du
DNS. Attention, il vous faut décocher l'option se trouvant dessous (Allow DNS server list to be
overridden by DHCP/PPP on WAN). En effet, cette option provoque des conflits puisque les DNS des
clients n'est plus Pfsense, mais un DNS du WAN inaccessible par le LAN.
Ensuite, modifiez le nom et le mot de passe du compte permettant de se connecter sur Pfsense.
Vous pouvez ensuite activer l'accès à ces pages, via une connexion sécurisée SSL. Pour cela, activer
l'HTTPS. Entrez le port 443 dans webGui port (correspondant à SSL).
Vous pouvez ensuite modifier le serveur NTP et le fuseau horaire pour régler votre horloge.
Enfin, nous vous conseillons de changer le thème d'affichage de Pfsense. En effet, le thème par défaut
(metallic), comporte quelques bugs (problème d'affichage, lien disparaissant). Mettez donc le thème
"Pfsense".
Vous devriez donc avoir une interface comme ceci :

27
 SITA MAROC

Ensuite, toujours dans "system", allez dans Advanced. Ici, nous pouvons activer la connexion SSH afin
de l'administrer à distance sans passer par l'interface graphique (en effet, pour une configuration
accrus, il vaut mieux passer par le Shell).

Nous allons maintenant configurer les interfaces LAN et WAN en détail.

Pour cela, allez dans Interface, puis WAN pour commencer. Entrez ici l'adresse IP de la carte réseau
coté WAN, ainsi que l'adresse IP de la passerelle.

28
 SITA MAROC

Configurer ensuite la carte LAN (elle doit être normalement bien configuré, mais vous pouvez faire des
modifications par la suite ici) :

Il ne reste plus qu'à configurer le serveur DHCP pour le LAN, afin de simplifier la connexion des clients.
Pour cela, allez dans la section DHCP server.

29
 SITA MAROC

Cochez la case Enable DHCP server on LAN interface. Entrez ensuite la plage d'adresse IP qui sera
attribuée aux clients. Dans notre cas, notre plage d'IP sera 10.10.10.10 Ŕ 10.10.10.50
Il faut par la suite entrer l'IP du serveur DNS qui sera attribuée aux clients. Ici, il vous faut entrer l'IP du
portail captif. En effet, nous avons définie plus haut que Pfsense fera lui-même les requêtes DNS.
Pour finir, entrez l'adresse de la passerelle pour les clients. Celle-ci sera le portail captif : 10.10.10.1
Voici donc ce que vous devriez avoir :

Voilà, Pfsense est correctement configuré. Pour le moment il sert uniquement de Firewall et de routeur.
Nous allons maintenant voir comment activer l'écoute des requêtes sur l'interface LAN et obliger les
utilisateurs à s'authentifier pour traverser le Firewall.

4.4) Le portail captif

6.4.1- Paramètres généraux

Nous allons désormais voir la procédure afin de mettre en place le portail captif. Pour cela, allez dans la
section Captive portail.
Cochez la case Enable captive portail, puis choisissez l'interface sur laquelle le portail captif va écouter
(LAN dans notre cas).
Dans les 2 options suivantes, nous allons définir les temps à partir desquelles les clients seront
déconnectés. Idle Timeout définie le temps à partir duquel un client inactif sera automatiquement
déconnecté. Hard Timeout définie le temps à partir duquel un client sera déconnecté quel que soit son
état.
Nous avons choisi de mettre 1h pour l'inactivité, et 12h pour les déconnexions brutales.

30
 SITA MAROC

Ensuite, nous pouvons activer ou pas un popup qui va servir au client de se déconnecter. Nous avons
préféré ne pas mettre cette option, car de nombreux utilisateurs utilisent des anti-popup et donc ne
verront pas ce message.
Il est possible ensuite de rediriger un client authentifié vers une URL spécifique. Nous avons préféré de
ne rien mettre afin de laisser la liberté au client de gérer leur page de démarrage.
Le paramètre suivant Concurrent user logins, permet d'éviter les redondances de connexions. En effet,
l'utilisateur pourra se connecter sur une seule machine à la fois. Cela va donc limiter les usurpations
d'identité pour se connecter.

Enfin il est possible de filtrer les clients par adresse MAC.

Ensuite vient la méthode d'authentification.

3 possibilités s'offre à nous :
 Sans authentification, les clients sont libres
 Via un fichier local
 Via un serveur RADIUS

6.4.2)-Test en local :

On va commençais le TEST par Via un fichier local :

31
 SITA MAROC

Premier étape : Activation portail captif

Puis En doit Sélectionner dans les choix Local user manager

Puis sauvegarder la configuration

Dans notre Cas On a créés nous propos pages pour le test (une page Authentification/ une page
pour erreur authentification/ et autre page pour montrer si authentification et réussie).

2eme étapes : Création d’utilisateur

32
 SITA MAROC

3eme Etapes : Le Test

Sur une autre machine en va Taper une adresse web par exemple http://google.com/

Voilà il nous redirige ver la page d’authentification

33
 SITA MAROC

Dans le premier Cas en va tester avec un login et mot de passe incorrecte :

Voilà se quel donne

Maintenant avec Login et mot de passe qu’on vient de crées :

Comme en remarque notre authentification et réussie :

En peut voir l’utilisateur connecter sur : STATUS portail captif

Pour des raisons de sécurités, nous avons mis en place un serveur RADIUS. Pour plus de détail sur
l'installation de Radius, reportez-vous à la partie consacrée à la sécurisation du portail.

34
 SITA MAROC

Il est possible par la suite de sécuriser l'accès au portail captif. Cette mise en place est décrite dans la
partie consacrée à la sécurisation du portail.
Enfin, vous pouvez importer une page web qui servira de page d'accueil, ainsi qu'une autre page en cas
d'échec d'authentification.

35
 SITA MAROC

Si vous avez des images insérer sur vos pages web, allez dans l'onglet File Manager et télécharger vos
images.

Les autres onglets ne sont pas utilisés dans notre cas, mais pour information, l'onglet Pass-through
MAC sert à définir les adresses MAC autorisé à traverser Pfsense. Allowed IP address sert à définir les
adresses IP autorisées à sortir. Et enfin l'onglet Users sert dans le cas où l'on a choisi l'option Local
Manager vu plus haut, et est donc utilisé pour stocker les comptes valides.
Voilà, le portail captif est en marche. Cependant, cette configuration comporte quelques failles, dans le
sens l'accès aux pages web n'est pas crypté. Les données concernant le login passe donc en clair et
peut être visible de tous. Nous allons voir maintenant comment sécuriser cet accès.

36
 SITA MAROC

4.5) L’authentification

L’authentification est un point névralgique de PfSense puisque cette dernière définit l’autorisation ou
non d’accès vers l’extérieur d’un utilisateur, une sorte de portail mécanique fermé dont il faut avoir la clé
pour l’ouvrir…

Choix du protocole d’authentification :

RADIUS (Remote Authentification Dial-In User Service) est un protocole client-serveur permettant de
centraliser des données d'authentification. C’est le standard utilisé aujourd’hui car très malléable et très
sécurisé.
PfSense intègre par défaut un serveur radius libre (FreeRadius) couplé à une base locale. Nous avons
fait le test et il fonctionne bien

Cependant nous avons abandonné cette solution pour le raison de :

 Le serveur FreeRadius embarqué ne dispose pas de toutes les fonctionnalités que propose un
Radius (spécification du media utilisé, groupes, etc….)

Ajout de l’authentification Radius d’IAS Microsoft Server2003 à PfSense

2 parties à considérer :

 Configuration de l’authentification PfSense

 Configuration de RADIUS sur Server 2003

a) Configuration de l’authentification sous PfSense

System | General Setup

37
 SITA MAROC

Services | Captive portal

38
 SITA MAROC

Il y ensuite la possibilité de créer des statistiques pour Radius : l’Accounting

4.6) RADIUS sous Windows Server 2003 Enterprise Edition

 Ne pas oublier de joindre le domaine Pfsense.stage.com sur le serveur Radius. Si ce n‘est pas
le cas une réinstallation d’Active Directory est nécessaire. Le fait de joindre le Radius dans le
domaine évite à l’utilisateur lors son authentification de faire ‘user@pfsense.stage.com mais
seulement user’
 Ne pas oublier que le serveur Radius sera désormais le DNS de PfSense
 Une configuration par défaut comme celle-ci utilise les ports
 1812 pour l’authentification
 1813 pour l’accounting (stats pour Radius )

Installation du serveur radius

Pour installer le service Radius appelé aussi Service d’authentification Internet, chez Microsoft, il faut
aller dans :
 Démarrer | Panneau de configuration | Ajout/Suppression de programmes | Ajouter ou
supprimer des composants Windows | Services de mises en réseau | Service d’authentification
Internet.

 Cliquer sur OK, l’installation s’effectue en sélectionnant les paramètres par défaut.

Créer un compte utilisateur dans Active Directory

 Pour créer un compte utilisateur dans l’Active Directory, cliquer sur Démarrer | Outils
D’administration | Utilisateurs et ordinateurs Active Directory
 Dans le dossier Users, cliquer avec le bouton droit de la souris sur Nouveau | Utilisateur
Créer l’utilisateur nommé «Mary»

39
 SITA MAROC

Créer un groupe de sécurité global dans Active Directory

 Dans le dossier Users, cliquer avec le bouton droit de la souris sur Nouveau | Groupe

Nous allons créer un groupe Groupe-wifi puis ajouter l’utilisateur à ce groupe.

Renseigner PfSense dans le DNS du Serveur Radius

 Démarrer | programmes | outils d’administration | DNS

 En premier renseigner le service authentification dans Active Directory

40
 SITA MAROC

Dans le dossier Pfsense.stage.com créer un nouvel hôte ( A )

Paramétrer le service IAS

 Dans l’interface d’administration du Service d’authentification Internet, Ajouter un client Radius :

41
 SITA MAROC

Renseigner le nom de PfSense, son adresse IP et Définir le secret partagé entre PfSense et le serveur
Radius, dans notre exemple nous choisirons PfSense comme secret partagé.

Remarque : Les secrets partagés sont utilisés pour vérifier que les messages RADIUS, à l'exception du
message de requête d'accès, sont envoyés par un périphérique compatible RADIUS configuré avec le
même secret partagé. Les secrets partagés vérifient aussi que le message RADIUS n'a pas été modifié
en transit (intégrité du message). Le secret partagé est également utilisé pour crypter certains attributs
RADIUS, tels que User-Password et Tunnel-Password

 Ajoutons une nouvelle stratégie d’accès distant personnalisée:

42
SITA MAROC

Création d’une
nouvelle stratégie
définissant comment le
serveur Radius doit
fonctionner (avec
quels paramètres…)

Le NAS (Network Access

Identifier) est la machine qui
reçoit la demande
d’authentification du client
WiFi (ici la machine
Pfsense)

43
SITA MAROC

On spécifie ici le medium

utilisé pour la connexion au
Radius

44
SITA MAROC

Ne pas oublier d’ajouter

le groupe d’utilisateurs
dont Radius gère
l’authentification

45
 SITA MAROC

On autorise l’accès
distant puis dans la
fenêtre suivante l’option
propriété |
authentification est ici
PAP, CHAP

Le serveur RADIUS correctement est configurée.

46
 SITA MAROC

5. Le test et mise en service portail captive

La solution installée a été faite de sorte à ce que la mise en place du portail captif soit la plus
transparente possible pour les utilisateurs.

Le client devra se mettre en IP automatique. C'est-à-dire que l'adresse IP sera fourni par Pfsense. On
voit bien ci-dessous que l'IP a bien été transmise de façon automatique.
L'utilisateur devra ensuite, tout simplement, ouvrir un navigateur web (comme s'il voulait surfer sur le
web).
On taper le site qu’il vous voulez : http://www.google.com

Le client sera automatiquement redirigé vers la page html d'authentification. Il devra alors entrer ici son
login et mot de passe de l’utilisateur.

Si le login est bon, il pourra alors surfer sur Internet !

47
SITA MAROC

48
 SITA MAROC

CONCLUSION

Nous avons testé une multitude de portails captifs et tous

sont ciblés pour une utilisation Particulière. Nous avons
également vu que l’on peut choisir un portail qui se
paramètre via le site web du constructeur, un autre portail
qui s’intègre dans un point d’accès, etc… ce qui fait autant
de possibilités que de solutions.
Pfsense après comparatif et tests est le meilleur compromis.
Cette solution de portail captif est stable, simple
d’utilisation, modulable, évolutive et sécurisée.
Sécuriser Pfsense fût, et est encore aujourd’hui la partie ou
nous avons passé le plus de temps.
Mettre en place un portail captif est une chose, mais il faut
en assurer la sécurité. Alors que les problèmes de sécurité
deviennent de plus en plus importants dans les réseaux, et
notamment sur Internet, il convient d'être conscient des
forces et des limites du portail captif, et des autres solutions
existantes afin d'assurer le meilleur rapport
praticabilité/sécurité.
Le portail captif est particulièrement adapté à des accès
réseaux pour de nombreuses personnes, généralement de
passage : il garantit une facilité d'utilisation par le client, qui
a priori n'aura besoin d'aucun support de la part de l'équipe
technique qui sera responsable du portail.

49
 SITA MAROC

Webographie (ressources) :

 http://doc.pfsense.org/index.php/InstallationGuide
 http://www.commentcamarche.net/contents/91-radius
 http://www.evmag.fr/site.php?page=audio300
 http://fr.wikipedia.org/wiki/Portail_captif

50