Mise en Place D'un Portail Captif Via Pfsense

Transféré par

Saranconde
1K vues49 pages
Le portail captif via pfsense

Titre original

Mise en place d'un portail captif via pfsense

Copyright

© © All Rights Reserved

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Signaler ce document

Description :

Le portail captif via pfsense

Droits d'auteur :

© All Rights Reserved
Signaler comme contenu inapproprié
1K vues49 pages

Mise en Place D'un Portail Captif Via Pfsense

Titre original :

Mise en place d'un portail captif via pfsense

Transféré par

Saranconde

Description :

Le portail captif via pfsense

Droits d'auteur :

© All Rights Reserved
Signaler comme contenu inapproprié
sur 49

REPUBLIQUE DE GUINEE

Travail – Justice – Solidarité


--------------
MINISTÈRE DE L’ENSEIGNEMENT SUPÉRIEUR ET DE LA
RECHERCHE SCIENTIFIQUE
--------------
CONFÉRENCE ÉPISCOPALE DE GUINÉE
--------------
UNIVERSITÉ CATHOLIQUE DE L’AFRIQUE DE L’OUEST
UNITÉ UNIVERSITAIRE À CONAKRY
(UCAO-UUCo)

FACULTÉ DES SCIENCES FONDAMENTALES ET DE TECHNOLOGIES


DÉPARTEMENT DE MATHÉMATIQUES ET INFORMATIQUE

MÉMOIRE DE FIN DE CYCLE EN VUE DE L’OBTENTION DU DIPLÔME DE


LICENCE PROFESSIONNELLE EN GENIE INFORMATIQUE
THEME : ÉTUDE ET MISE EN PLACE D’UN PORTAIL
CAPTIF VIA PFSENSE AU SEIN DE L’ECOLE NATIONALE
DES ARTS ET METIERS DE GUINEE (ENAM)
RÉALISÉ PAR :
Saran CONDE
Élève Ingénieure en Administration systèmes, réseaux et
Télécommunications

SOUS LA DIRECTION DE :


M. Mao BILIVOGUI
Administrateur système et réseau chez E.T.I S.A

Année Académique 2019-2020


SOMMAIR

LISTE DES TABLEAUX.........................................................................................................2

LISTE DES FIGURES............................................................................................................3

GLOSSAIRE.............................................................................................................................5

DEDICACE...............................................................................................................................6

REMERCIEMENTS.................................................................................................................7

INTRODUCTION....................................................................................................................8

PREMIERE PARTIE : ENVIRONNEMENT ET CONTEXE D’EXÉCUTION............10

CHAPITRE I: Présentation et étude de l’existant de l’École Nationale des


Arts et Métiers de Guinée (ENAM)...............................................................................11

DEUXIEME PARTIE : ETUDE TECHNIQUE.................................................................16

CHAPITRE I : Généralités sur les portails captifs..................................................17

TROISIEME PARTIE: DEPLOIEMENT DU PORTAIL CAPTIF CHOISI.................21

CHAPITRE I : Installation et Configuration de PFsense......................................22

CONCLUSION.......................................................................................................................43

BIBLIOGRAPHIE..................................................................................................................44

TABLE DES MATIÈRES......................................................................................................45

ANNEXE : Le prix des équipements informatiques...............................................48


LISTE DES TABLEAUX
Tableau 1: Étude de l'existant..........................................................14
Tableau 2: Étude comparative des portails captifs...............................19
Tableau 3: Plan d'adressage réseau..................................................22
Tableau 4: Environnement de travail.................................................41
Tableau 5: Coûts de matériels..........................................................42
LISTE DES FIGURES
Figure 1: Organigramme de l'ENAM..................................................13
Figure 2: Nouvelle architecture réseau de L’ENAM...............................15
Figure 3 : Fonctionnement Générique d'un portail captif.......................17
Figure 4: Menu de démarrage de PFsense..........................................23
Figure 5: Contrat de licence.............................................................24
Figure 6: Installation de PFsense......................................................24
Figure 7: Choix du clavier................................................................24
Figure 8: Choix du partitionnement...................................................24
Figure 9: Configuration manuelle......................................................25
Figure 10: Fin de l'installation..........................................................25
Figure 11: Menu textuel PFsense......................................................25
Figure 12: Page de connexion PFsense..............................................26
Figure 13: Menu Général de PFsense.................................................26
Figure 14: Configuration Générale de PFsense....................................27
Figure 15: Configuration du DNS Forwarder.......................................27
Figure 16: Configuration du DNS Resolver.........................................28
Figure 17: Configuration de l'interface LAN........................................28
Figure 18: Configuration de l'interface WAN.......................................29
Figure 19: Configuration de l'interface WIFI.......................................29
Figure 20: Configuration du serveur DHCP.........................................30
Figure 21: Règle de l'interface WAN..................................................31
Figure 22: Règle de l'interface WIFI..................................................31
Figure 23: Les rôles installés............................................................32
Figure 24: Création d’un compte utilisateur........................................33
Figure 25: Création d’un groupe et des utilisateurs..............................34
Figure 26: Installation du rôle NPS...................................................34
Figure 27: Inscription du serveur dans Active Directory.......................35
Figure 28: Création du client RADIUS................................................35
Figure 29: Nom de la stratégie.........................................................36
Figure 30: Choix de la condition.......................................................36
Figure 31: Ajout d'un groupe d'utilisateurs.........................................36
Figure 32: Spécification de l'autorisation d'accès.................................36
Figure 33: Méthodes d'authentification..............................................37
Figure 34: Paramètres de chiffrement...............................................37
Figure 35: Fin de l'installation du client Radius...................................37
Figure 36: Configuration de l’authentification RADIUS..........................38
Figure 37: Activation du portail captif................................................39
Figure 38: Paramètres de la page de redirection de l'utilisateur.............39
Figure 39: Choix du serveur d'authentification....................................40
Figure 40: Configuration des paramètres de compte RADIUS................40
Figure 41: Connexion à l’Internet via le portail captif...........................40
Figure 42: Accès à l’Internet............................................................41
GLOSSAIRE
CPU: Central Processing Unit

DHCP/PPP: Dynamic Host Configuration Protocol/Point-to-Point Protocol

DNS: Domain Name System

FreeBSD: Free Berkeley Software Distribution

HTTP: Hypertext Transfer Protocol

HTTPS: HyperText Transfer Protocol Security

HDD: Hard Disk Drive

ISO: International Standardization Organization

LAN: Local Area Network

MS-CHAPv2: Microsoft-Challenge Handshake Authentication protocol


version 2

IP: Internet Protocol

NAT: Network Address Translation

NAS: Network Access Server

NPS: Network Policy Server

PAP: Password Authentication Protocol

RAM: Random Access Memory

URL: Uniform Resource Locator

VPN: Virtual Private Network

WAN: Wide Area Network

WIFI: Wireless Fidelity

WPA-PSK: Wi-Fi Protected Access-Pre-Shared Key

Www: World Wide Web


DEDICACE 
Je dédie ce travail à mes très chers parents, à mes frères et sœurs, et à
toute ma famille.
REMERCIEMENTS
Je tiens à remercier toutes les personnes qui m’ont apporté leur soutien,
aides et conseils durant la réalisation de ce travail.

J’adresse également mes profonds remerciements et reconnaissances :

- À toute l’administration de l’Université Catholique de l’Afrique de


l’Ouest à Conakry ;
- À son président, l’Abbé François-Xavier DAMIBA et à son Vice-
président chargé des études M. Raymond-Marie Augustin
GNIMASSOU, pour les précieux conseils qu’ils m’ont donnés durant
mes quatre années d’études.
- À M. Charles Lebon LAWSON, Chef du département Mathématiques
et Informatique, ainsi que tout le corps professoral du département
pour les connaissances qu’ils m’ont transmises pendant mon
cursus ;
- Au directeur général de l’École Nationale des Arts et Métiers de
Guinée (ENAM), M. Alhassane SYLLA et à tout son personnel, pour
leurs aimables accueils et les moyens qu’ils ont mis à ma disposition
pour l’élaboration de ce travail ;
- À mes très chers parents pour leur soutien durant toutes mes
années d’études ;
- À ma très chère tante Mme Camara Hadja Oumou BALDE et à toute
sa famille, pour leurs aides et encouragements continus ;
- À mon cher encadreur M. Mao BILIVOGUI, pour ses précieux
conseils, son orientation et le temps qu’il m’a consacré pendant
l’élaboration de ce mémoire.
INTRODUCTION
Les réseaux informatiques sont devenus, depuis quelques années, des
outils capitaux de communication.
Aujourd'hui, les importantes évolutions des réseaux informatiques visent à
faciliter la mobilité afin de répondre aux nouveaux besoins des individus et
des entreprises utilisant des terminaux de plus en plus dynamiques tels
que les smartphones, les ordinateurs portables, les tablettes, etc.

De nos jours, avec l’implosion du phénomène de la cybercriminalité, la


transmission de gros volumes d’informations sensibles et la nécessité de
garantir la confidentialité, la sécurité des réseaux informatiques est
devenue une préoccupation majeure pour les entreprises.

Cependant, la diversité des politiques de sécurisation des réseaux, pour la


plupart, assez complexes et parfois rébarbatives pour l’utilisateur,
nécessite la mise en place de technologies additionnelles qui, tout en
renforçant la sécurité des données, créent une convivialité pour
l’utilisateur.

Les systèmes d'authentification constituent une alternative assez pratique


puisqu’ils sont compatibles avec la plupart des terminaux mobiles
disponibles sur le marché et assurent la sécurité des échanges entre les
utilisateurs.

Un des systèmes d'authentification les plus utilisés aujourd’hui est le


portail captif. Il a l’avantage d’être utilisé aussi bien dans les points
d'accès payants que gratuits et peut s’étendre à tous types de réseau
(sans-fil ou filaire) exigeant un contrôle d'accès.

La préoccupation majeure de l’École Nationale des Arts et Métiers de


Guinée (ENAM) est la sécurisation de son réseau Internet et la bonne
gestion, par l’administrateur, de tous les utilisateurs qui souhaitent s’y
connecter.
Cette structure ne dispose d’aucune technologie lui permettant d’assurer
une gestion sécurisée de son infrastructure informatique et de sa
connexion à l’Internet.

Pour pallier cette insuffisance et offrir à l’ENAM une solution permettant


de sécuriser l’accès à l’Internet et faciliter la gestion des utilisateurs
connectés, nous avons souhaité travailler sur le thème intitulé « Étude et
Mise en place d’un portail captif via PFsense au sein de l’École
Nationale des Arts et Métiers de Guinée (ENAM) ».

Il s’agira pour nous d’étudier, dans une démarche rigoureuse, comment


un portail captif implémenté via PFSENSE peut-il assurer la sécurité des
données et l’administration d’un réseau informatique ?

Pour atteindre notre objectif, ce thème sera traité en trois parties:

- La première partie traitera de la présentation et de l’étude de


l’existant de l’École Nationale des Arts et Métiers de Guinée
(ENAM);
- Dans la deuxième partie, il sera question de faire une étude
comparative de quelques solutions existantes afin d’en choisir
une;
- Nous consacrerons la troisième partie à l’implémentation de la
solution retenue.
PREMIERE PARTIE : ENVIRONNEMENT
ET CONTEXE D’EXÉCUTION
CHAPITRE I: Présentation et étude de l’existant de
l’École Nationale des Arts et Métiers de Guinée (ENAM)
I.1. Présentation de l’École Nationale des Arts et Métiers
de Guinée (ENAM)
L’École Nationale des Arts et Métiers de Guinée (ENAM) sise à
lanséboundji commune de Matam, est une grande école d’enseignement
technique et de formation professionnelle.

Elle est le support technique de l’économie guinéenne, à travers la


formation dans tous les secteurs de développement, des aide-ingénieurs
et des techniciens supérieurs.1

 Historique
1962 : Date de création de l’école des cadres techniques

 Financement USAID (United States Agency For International


Development) Amérique
 Assistant Technique ORT (l'Organisation de Reconstruction Travail)
Genève
1966 : École Nationale des Arts et Métiers 

1976 : Faculté des Sciences Techniques 

1987 : Projet Enam I

 Financé par le 6ème FED (Fédéral Reserve System)


 Formation des techniciens supérieurs(BTS)
 Création des filières : Électromécanique et Mécanique Auto Diesel
 Assistant Technique SODETEG(France)

1992 : Projet Enam II

 Financé par la 7èmeFED (Fédéral Reserve System)


 Création de la filière et Mécanique Générale Maintenance
 Assistant Technique CECOFORMA(Belgique)

2000 : Projet Enam III


1
Document ENAM 2010
 Financé par le 8èmeFED (Fédéral Reserve System)
 Création de la filière Génie Civil
 Assistant Technique GOPA Conseils (Allemagne)

 Mission
L’ENAM a pour mission, de former pour le système industriel, des
diplômés au Brevet de Techniciens Supérieur (BTS) en Électromécanique,
Maintenance générale, Mécanique auto diésel, Froid climatisation,
Bâtiment, Topographie et Travaux public.

 Partenaires
MAROC :

 Institut Supérieur du Bâtiment(ISB) Casablanca


 Institut Supérieur Inter Entreprise(ISTAE) Casablanca

ALLEMAGNE :

 École Inter entreprise(UABF) Francfort(Oder)


 Bureau D’étude (IBC) Berlin

GUINEE :

 Compagnie de Bauxite de Guinée (CBG)


 Alumina Company of Guinea (ACG)
 SMD Lero (Société Minière de Dinguiraye)
 SAG (Société Anglo Gold Ashanti)
 SDV-SOCOPAO-SAGA
 UMS (United Mining Supply)
 EDG-SOBRAGUI-BONAGUI (Électricité de Guinée)-(Société des
Brassières de Guinée)-(Boisson Non Alcoolisée de Guinée)
 BCEIP (Bureau de Consultation d'enquêtes d'intérim et de
Perfectionnement)
 Ciment de Guinée
 Organigramme
L’organigramme de l’École Nationale des Arts et Métiers de Guinée se
présente comme suit:

Figure 1: Organigramme de l'ENAM

I.2. Étude de l’existant de l’ENAM


 Existants matériels et logiciels

Après une visite au sein de l’ENAM, nous avons répertorié les différents
équipements informatiques dans le tableau ci-dessous :

Designation Marque Caractéristiques Quantité Etat


Laptop HP Windows 8, Office 2010, 1 Bon
Intel Core i3 2.0GHz,
RAM 4Go,
HDD 500Go
Desktop HP Windows XP, 1 Bon
Pentium(R) 4CPU 3.00GHz,
RAM 504 Mo,
HDD 80Go
Desktop HP Windows 7, Office 2010, 4 Bon
Intel(R) core ™) 2, CPU
6400@2.13 GHz,
RAM 8Go,
HDD 100Go
Imprimante HP Deskjet 1010 print, scan, copy 1 Bon
A4
Imprimante HP LaserJet, P2035 print, scan, 2 Bon
copy A4
Router sans D-LINK Norme 802.11b (11Mbps) , 1 Bon
fil DWR- 802.11g (54Mbps),
712 802.11n, Cryptage sans fil
(WEP, WPA et WPA2)
Tableau 1: Étude de l'existant

 Existant humain : Il n’y a aucun informaticien qui gère le parc


informatique.

I.3. Critique de l’existant


Actuellement, l’accès au réseau Internet de l’ENAM est fait par
authentification par clé WPA2-PSK, cela reste insuffisant puisqu’il existe de
nos jours des logiciels qui parviennent à contourner cette méthode
d’authentification comme par exemple le logiciel Aircrack-ng.
L’authentification par clé ne permet pas également de gérer de façon
efficace les utilisateurs connectés au réseau Internet. D’où, la nécessité de
mettre en place une solution de portail captif sur le réseau Internet de
l’ENAM.

De plus, l’ENAM n’a pas de réseau local et dans son parc informatique les
ordinateurs dont elle dispose tournent sur des systèmes d’exploitation
obsolètes, par exemple Windows XP.
I.4. Architecture réseau proposée de l’École Nationale
des Arts et Métiers de Guinée (ENAM)
Dans cette architecture, nous avons un serveur physique sur lequel nous
avons installé un environnement virtuel.

Sur cet environnement virtuel, nous avons créé deux machines virtuelles :
sur la première machine, nous avons installé le routeur/pare-feu logiciel
PFsense et sur la seconde machine, nous avons installé le contrôleur de
domaine et le service Radius sous Windows Server 2016.

Nous avons également un point d’accès qui partage le Wi-Fi et un routeur


qui permet d’accéder à l’Internet.

Figure 2: Nouvelle architecture réseau de L’ENAM


DEUXIEME PARTIE : ETUDE TECHNIQUE
CHAPITRE I : Généralités sur les portails captifs
I.1. Généralité
Le portail captif est une page web, mise en place dans un réseau (sans fil
ou filaire), obligeant tous les utilisateurs de ce réseau à s’authentifier
avant d’accéder à l’Internet.

I.2. Fonctionnement Générique d’un portail captif


Un utilisateur a accès à l’Internet par le biais d’une connexion WIFI, puis
un serveur DHCP lui attribue une adresse IP, à cet instant l’utilisateur a
seulement accès au réseau portail captif. Lorsqu’il va lancer son
navigateur web pour effectuer des recherches, la passerelle va le rediriger
vers une page web où il va s’authentifier, en entrant son nom d’utilisateur
et son mot de passe.

Le serveur d’authentification va ensuite interroger la base de données où


sont stockés, les comptes utilisateurs autorisés à accéder à Internet.
Finalement, le serveur d'authentification indique, à la passerelle que
l’utilisateur est authentifié sur le réseau. Ainsi, la connexion Internet est
établie pour l’utilisateur et il est redirigé vers la page Web qu'il a
demandée au début.2

Figure 3 : Fonctionnement Générique d'un portail captif

2
Tiré du site https://www.supinfo.com/articles/single/2064-portail-captif consulté en Mars 2019
I.3. Étude des principaux portails captifs libres et gratuits 3
I.3.1 PFsense
PFsense ou « Packet Filter Sense » est une distribution basée sur
FreeBSD, conçue pour être utilisé comme pare-feu et routeur. Il s’installe
via une distribution dédiée et sa configuration se fait à travers une
interface web.
PFsense permet une authentification sécurisée via le protocole HTTPS et
un couple utilisateur / mot de passe. Il est simple à utiliser et dispose
également d’une documentation très détaillée.

I.3.2 ALCASAR
ALCASAR (Application Libre pour le Contrôle d'Accès Sécurisé et
Authentifié au Réseau) est un produit français particulièrement consacré
aux fonctions de portail captif. Il s'installe sur une distribution Mandriva à
travers un script supporté par cette dernière et sa configuration se fait via
une interface web.

L’authentification est sécurisée par HTTPS et un couple utilisateur / mot de


passe. La solution Alcasar est très bien documentée et simple à utiliser.

I.3.3 ZeroShell
ZeroShell est une distribution Linux qui assure une sécurité entière au sein
d'un réseau (pare-feu, VPN, portail captif...). Son installation est simple
via une distribution dédiée.

Elle dispose d’une interface de gestion web simple d’utilisation et sa page


d'authentification est sécurisée et la connexion se fait via un couple
utilisateur / mot de passe. Zeroshell a une documentation très incomplète.

3
Tiré du site https://fr.scribd.com/document/330629234/Portail-captif-etude-de-cas consulté en Avril 2019
I.3.4 Étude comparative des solutions de portails captifs
Critères Solutions
PFsense ALCASAR ZeroShell
Sécurité HTTPS HTTPS HTTPS
Authentification
Documentation Disponibilité Disponibilité Moyennement
élevée élevée Disponible
Plates-formes Toutes Toutes Toutes
clients supportées
Personnalisation Disponibilité Disponibilité Moyennement
élevée élevée Disponible
Facilité Installation via Installation via Installation via
d’administration distribution Script distribution
dédiée automatisé dédiée
Facilité d’utilisation Disponibilité Disponibilité Disponibilité
élevée élevée élevée
Sauvegarde/ Disponibilité Disponibilité Disponibilité
restauration élevée élevée élevée
configuration
Pérennité de la Disponibilité Disponibilité Moyennement
solution élevée élevée disponible
Tableau 2: Étude comparative des portails captifs

I.3.5 Choix d’une solution de portail captif


Au vu de ce comparatif, les solutions qui s’adaptent aux critères dont nous
avons besoin sont : PFsense et ALCASAR.

Cependant ALCASAR s'installe via un script automatisé, aussi ALCASAR est


principalement dédié aux fonctions de portail captif.

Alors que PFsense s'installe via une distribution dédiée et PFsense dispose
également de nombreuses fonctionnalités qui apportent une sécurité
complète au sein d’un réseau local.

Ainsi, le portail captif retenu est PFsense.

Le produit PFsense présente aussi une plus grande assurance, car


l’assistance provient d’une communauté de personnes qui utilisent le
logiciel et proposent régulièrement de nouvelles idées à implémenter.
I.3.6 Étude technique de la solution de portail captif
choisi : PFsense4
PFsense est un routeur/pare-feu logiciel, à code source ouvert et
personnalisé de FreeBSD. Il est complètement administrable par une
interface Web et console. 

La solution PFsense fournit plusieurs fonctionnalités qui sont entre autres:

 Un portail captif ;
 Un serveur DHCP et relais ;
 La traduction d’adresses réseau (NAT) ;
 Multi-WAN ;
 Un DNS dynamique ;
 La Haute disponibilité ;
 Le filtrage des URL avec les packages Squid et SquidGuard ;
 Un Réseau privé virtuel (VPN).

Elle a l’avantage d’être robuste, modulable et sécuriser.

PFsense est idéal pour les petites et moyennes entreprises qui ont besoin
d’une plate-forme solide.

4
Tiré du site https://docs.netgate.com/pfsense/en/latest/book/intro/index.html consulté en Avril 2019
TROISIEME PARTIE: DEPLOIEMENT DU
PORTAIL CAPTIF CHOISI

CHAPITRE I : Installation et Configuration de PFsense


Ce tableau ci-dessous explicite le plan d’adressage réseau, pour la
réalisation de cette solution de portail captif.
Peripheriques Interface Adresse IP Masque Passerelle
WAN DHCP DHCP N/A
LAN 192.168.26.1 255.255.255.0 N/A
PFsense
WIFI 192.168.20.1 255.255.255.0 N/A
Active Directory LAN 192.168.26.2 255.255.255.0 192.168.26.1
ClientWifi1 WIFI DHCP 255.255.255.0 192.168.20.1
ClientWifi2 WIFI DHCP 255.255.255.0 192.168.20.1
ClientWifi3 WIFI DHCP 255.255.255.0 192.168.20.1
Tableau 3: Plan d'adressage réseau

I.1. Installation de PFsense


PFsense est installé sur une distribution FreeBSD, existante sous format
ISO téléchargeable gratuitement sur le site http://www.pfsense.org/.

La configuration matérielle minimale requise pour PFsense est la


suivante :

 CPU 600Mhz ou plus rapide;


 RAM 512Mo ou plus;
 4 Go HDD ou plus;
 Une ou plusieurs cartes d’interfaces réseau compatibles.

Dans le but de faire une démonstration pratique lors de la présentation


du projet, nous avons utilisé un poste de travail dont les caractéristiques
physique sont :
 CPU 2.00GHZ;
 RAM 8 Go;
 500Go HDD;
 Carte Réseau Realtek 8821CE Wireless LAN 802.11ac PCI-E NIC.
Sur ce poste de travail, nous avons installé le logiciel de virtualisation
VMware Workstation et nous avons créé des machines virtuelles avec les
caractéristiques suivantes :

PFsense 
 Trois Interfaces réseaux (LAN, WIFI, WAN);
 1Go de RAM ;
 10Go HDD.
Windows Server 2016 (contrôleur de domaine et serveur
d’authentification RADIUS)
 Interfaces réseau (LAN);
 2Go de RAM;
 20Go HDD.
Windows 10 (client)
 Interface réseau (WIFI);
 1Go de RAM;
 60Go HDD.

Les différentes étapes de l’installation de PFsense


Étape 1 : Installation du support sur la machine virtuelle.

Après le chargement du système dans la machine virtuelle, nous avons


accédé à l’écran de démarrage de FreeBSD, puis nous avons choisi
l’option 1 et nous avons attendu la fin du redémarrage.

Figure 4: Menu de démarrage de PFsense

Étape 2 : Information sur PFsense

Figure 5: Contrat de licence


Étape 3 : Démarrage de l’installation de PFsense

Figure 6: Installation de PFsense

Étape 4 : Configuration du clavier

Figure 7: Choix du clavier

Étape 5 : Choix du partitionnement automatique ou manuel

Figure 8: Choix du partitionnement

Étape 6 : Configuration manuelle

Figure 9: Configuration manuelle


Étape 7 : Redémarrage de la machine pour que les changements
soient effectif

Figure 10: Fin de l'installation

Après redémarrage, nous avons modifié l’adresse IP de l’interface LAN de


PFsense. Nous avons procédé comme suit : Dans le menu de PFsense,
nous avons choisi l’option 2 Set interface(s) IP adresse, puis nous
avons entré l’adresse IP correspondante à notre LAN. Voici le menu de
PFsense après modification de son interface LAN.

Figure 11: Menu textuel PFsense

I.2. Configuration de PFsense


I.2.1 Configuration Générale
Pour configurer PFsense, nous avons entré dans la barre de recherche du
navigateur web l’adresse IP de son interface LAN http://192.168.26.1
pour accéder à l’interface de connexion, puis nous avons entré un nom
d’utilisateur par défaut (admin) et un mot de passe (pfsense) pour se
connecter en tant qu’administrateur.
Figure 12: Page de connexion PFsense

Nous avons maintenant accès au menu général de PFsense.

Figure 13: Menu Général de PFsense

Pour faire la configuration générale de PFsense, nous avons procédé


comme suit: Dans l’onglet System puis General Setup, nous avons
entré le nom de la machine et l’adresse IP de notre serveur DNS, ensuite
nous avons décoché l’option (Allow DNS server list to be overridden
by DHCP/PPP on WAN), puis nous avons cliqué sur save pour
sauvegarder les modifications effectuées.
Figure 14: Configuration Générale de PFsense

a. Configuration du DNS Forwarder


Pour activer le DNS Forwarder, nous avons coché l’option Enable DNS
Forwarder de la section DNS Forwarder dans l’onglet Service, puis
nous avons cliqué sur save pour enregistrer les modifications effectuées.

Figure 15: Configuration du DNS Forwarder

b. Configuration du DNS Resolver


Nous avons activé le DNS Resolver sur toutes les interfaces de PFsense.
Dans l’onglet Service puis dans la section DNS Resolver, nous avons
coché les options suivantes : Enable DNS Resolver, Enable DNSSEC
Support, Register DHCP leases in the DNS Resolver et Register
DHCP static mappings in the DNS Resolver. Puis nous avons
enregistré les modifications effectuées.
Figure 16: Configuration du DNS Resolver

I.2.2 Configuration des Interfaces


a. Interface LAN
Pour activer l’interface LAN, nous avons coché l’option Enable Interface
de la section Interface LAN. Cette interface doit être obligatoirement en
static et nous avons enregistré les modifications effectuées.

Figure 17: Configuration de l'interface LAN

b. Interface WAN
Pour activer l’interface WAN, nous avons coché l’option Enable
Interface de la section Interface WAN, puis nous avons choisi le type
d’adressage (DHCP) et nous avons cliqué sur save pour enregistrer les
modifications effectuées.

Figure 18: Configuration de l'interface WAN


c. Interface WIFI
Pour activer l’interface WIFI, nous avons coché l’option Enable
Interface de la section Interface WIFI, cette interface aussi doit être
en static car c’est sur elle que nous avons activé le service DHCP.

Figure 19: Configuration de l'interface WIFI

d. Configuration du serveur DHCP


Nous avons activé le service DHCP sur l’interface WIFI pour faciliter la
connexion des utilisateurs. Dans l’onglet Service, puis dans la section
DHCP server, nous avons coché la case Enable DHCP server on WIFI
interface. Nous avons ensuite entré la plage d’adresse IP qui sera
attribuée aux utilisateurs dans notre cas, notre plage d’adresse sera
192.168.20.20-192.168.20.50.Nous avons aussi renseigné l’adresse
IP de notre serveur DNS qui sera attribuée aux utilisateurs, dans notre
cas nous avons entré l’adresse IP du WIFI, qui sera aussi la passerelle
des utilisateurs, puis nous avons enregistré les modifications effectuées.
Figure 20: Configuration du serveur DHCP

e. Définition des règles du firewall


Nous avons défini certaines règles sur les interfaces de PFsense pour leur
permettre de communiquer entre elles et avec l’extérieur. Sur l’interface
LAN le trafic est déjà autorisé par défaut. Nous avons édité de nouvelles
règles sur les interfaces WAN et WIFI.
Sur l’interface WAN : Dans l’onglet Firewall, puis dans la section
Rules, nous avons choisi l’interface WAN, puis nous avons édité la
nouvelle règle qui va permettre le passage des paquets du WAN vers le
LAN. Dans Action, nous avons choisi l’option PASS, dans Protocole ANY,
dans Interface WAN, pour la source nous avons choisi WAN net et pour
la destination LAN net. Puis nous avons enregistré les modifications
effectuées.
Figure 21: Règle de l'interface WAN

Sur l’interface WIFI : Nous avons mis une règle sur l’interface WIFI, qui
va autoriser la connexion Internet. Pour cela, nous avons copié la règle
IPv4 qui autorise le LAN à joindre toutes les autres interfaces et nous
l’avons appliqué à l’interface WIFI. Dans l’onglet Firewall, puis dans la
section Rules, nous avons choisi l’interface LAN, ensuite nous avons
cliqué sur l’icône copier (icône avec deux carrés superposés), puis sur
l’interface WIFI nous avons collé la règle et nous avons enregistré et
appliqué les modifications effectuées.

Figure 22: Règle de l'interface WIFI

I.3. Portail Captif


A. Authentification et gestion des utilisateurs
Pour authentifier les utilisateurs dans PFsense trois méthodes
d’authentification s’offrent à nous :

 Sans authentification, les utilisateurs sont libres ;


 Authentification via un fichier local, les identifiants de connexion des
utilisateurs sont stockés dans une base de données locales;
 Authentification via un serveur RADIUS.

Dans notre cas, nous avons choisi l’authentification via un serveur


RADIUS.
RADIUS (Remote Authentification Dial-In User Service) est un protocole
client-serveur très sécurisé, permettant de centraliser les données
d’authentification et de gérer les connexions utilisateurs à des services
distants.5

 Authentification Active Directory


Nous nous sommes servi de Windows Server 2016 afin de créer un nom
de domaine (enam.com) et d’installer un serveur d’authentification
(RADIUS) qui va permettre de lier PFsense au répertoire Active Directory.

Figure 23: Les rôles installés

 Création d’un groupe et des utilisateurs


Pour créer un utilisateur dans Active Directory, nous avons procédé
comme suit : Dans le Gestionnaire de serveur, puis dans l’onglet
Outils, nous avons cliqué sur utilisateurs et Ordinateurs Active
Directory, ensuite nous avons fait un clic-droit sur le dossier Users, puis
nous avons cliqué sur l’icône utilisateur et nous avons créé l’utilisateur
EnamUser.

5
Tiré du site https://www.cisco.com/c/fr_ca/support/docs/security-vpn/remote-authentication-dial-user-
service-radius/12433-32.pdf consulté en Octobre 2019
Figure 24: Création d’un compte utilisateur

Voici une copie d’écran de notre Active Directory où nous avons créé un
groupe PortailCaptif, qui contient les utilisateurs (D-Enam et
EnamUser) qui doivent pouvoir s’authentifier sur le portail captif.
Figure 25: Création d’un groupe et des utilisateurs

 Installation et configuration du serveur


d’authentification (RADIUS)
Pour installer le serveur RADIUS, nous avons ajouté le rôle NPS (Network
Policy Server) et nous avons procédé comme suit: Dans le Gestionnaire
de serveur, puis dans l’onglet Gérer, nous avons cliqué sur Ajouter des
rôles et fonctionnalités, ensuite nous avons coché Services de
stratégie et d’accès réseau et nous avons cliqué sur installer.

Figure 26: Installation du rôle NPS

Dans le Gestionnaire de serveur à gauche, nous avons développé les


services de stratégie et d’accès réseau, puis dans NPS (local) nous
avons fait un clic-droit sur NPS, nous avons cliqué ensuite sur : Inscrire
un serveur dans Active Directory puis ok.

Figure 27: Inscription du serveur dans Active Directory

Nous avons ensuite créé un client RADIUS, nous avons procédé comme
suit: Dans Client et serveurs RADIUS (sous NPS (local)), nous avons
effectué un clic-droit sur Client RADIUS puis nouveau, ensuite nous
avons attribué un nom au client RADIUS, une adresse IP, dans notre cas,
nous avons mis l’adresse IP de l’interface LAN de PFsense et nous avons
ensuite défini un secret partagé qui sera réécrit dans PFsense. Nous avons
enregistré en cliquant sur ok.
Figure 28: Création du client RADIUS

Nous avons aussi créé une stratégie réseau, qui va permettre au NPS
d'authentifier et d'autoriser les demandes de connexion des utilisateurs.

Nous avons procédé comme suit: Dans stratégie, nous avons effectué un
clic-droit sur stratégies réseau, puis nouveau nous avons entré le nom
de la stratégie.

Figure 29: Nom de la stratégie

Nous avons spécifié une condition, qui va déterminer cette stratégie


réseau dans notre cas, nous avons choisi Groupes d’utilisateurs.

Figure 30: Choix de la condition


Nous avons ensuite ajouté le groupe PortailCaptif, tous les utilisateurs
appartenant à ce groupe pourront accéder à Internet via leur identifiants.

Figure 31: Ajout d'un groupe d'utilisateurs

Nous avons également autorisé l’accès au réseau.

Figure 32: Spécification de l'autorisation d'accès

Nous avons aussi spécifié des méthodes d’authentifications nécessaires,


pour que la demande de connexion corresponde à la stratégie
PortailCaptif. Dans notre cas, nous avons coché les options ci-dessous:

 Authentification chiffrée (CHAP) ;


 Authentification non chiffrée (PAP, SPAP).

Figure 33: Méthodes d'authentification

Pour finir, nous avons décoché l’option Aucun du paramètre de


chiffrement de la stratégie PortailCaptif. Pour cela, nous avons fait un
clic-droit sur la stratégie, puis dans l’onglet paramètres, dans chiffrement
nous avons décoché la case : Aucun chiffrement et nous avons
enregistré en cliquant sur Terminer.
Figure 34: Paramètres de chiffrement

Voici un récapitulatif des options de la nouvelle stratégie.

Figure 35: Fin de l'installation du client Radius

 Configuration de l’Authentification RADIUS sur


PFsense
Pour configurer l’authentification RADIUS sur PFsense, nous avons
procédé comme suit: Dans l’onglet System, nous avons sélectionné User
Manager, dans la section Authentification servers, nous avons cliqué
sur Add, nous avons accédé à la page de configuration, dans laquelle
nous avons entré le nom descriptif PortailCaptif, le type de serveur nous
avons choisi le RADIUS, l’adresse IP de notre serveur Radius nous avons
entré celui du Windows Serveur donc (192.168.26.2), nous avons
sélectionné le protocole MS-CHAPv2, dans shared secret nous avons
écrit le secret partagé définit lors de la création du client RADIUS, pour les
services offerts par RADIUS nous avons choisi Authentication and
accounting et leurs ports d’écoute respectifs 1812 et 1813.Le délai
d’expiration de l’authentification est par défaut 5 secondes et l’attribut IP
RADIUS NAS : LAN-192.168.26.1 puis nous avons cliqué sur save pour
enregistrer les modifications effectuées.
Figure 36: Configuration de l’authentification RADIUS

B. Mise en place du portail captif


Pour mettre en place le portail captif, nous avons procédé comme suit:
Dans l’onglet Service, puis dans la section Captive portal, nous avons
créé une nouvelle zone, que nous avons configurée en cochant la case
Enable Captive portal, puis nous avons choisi l’interface sur laquelle le
portail captif va écouter. Dans notre cas, c’est l’interface WIFI.
Nous avons aussi défini les temps à partir desquelles les utilisateurs
seront déconnectés, Idle Timeout définit le temps à partir duquel un
utilisateur inactif sera automatiquement déconnecté et Hard Timeout
définit le temps à partir duquel il sera déconnecté quel que soit son état,
puis se voir redemander les identifiants de connexion. Nous avons choisi
de mettre 3 minutes pour l’inactivité et 3 minutes pour les déconnexions
brutales.
Figure 37: Activation du portail captif

Nous avons ensuite redirigé les utilisateurs authentifiés vers l’URL


suivante: http://www.enamguinee.com.
Nous avons aussi activé l’option Concurrent user logins pour éviter les
usurpations d’identité.

Figure 38: Paramètres de la page de redirection de l'utilisateur

Dans la partie authentification, nous avons sélectionné la méthode


d’authentification (Use an Authentication backend), puis nous avons
choisi notre serveur d’authentification PortailCaptif.

Figure 39: Choix du serveur d'authentification

Dans la partie paramètre de compte RADIUS, nous avons activé les


options Send RADIUS accounting packets et Interim. Puis nous
avons cliqué sur save pour sauvegarder les modifications effectuées.

Figure 40: Configuration des paramètres de compte RADIUS


Le portail captif de PFsense est maintenant fonctionnel, nous avons testé
l’accès à l’Internet via le portail captif, en ouvrant notre navigateur web et
en essayant d’accéder à une page web. Nous avons été automatiquement
redirigé vers la page d’authentification du portail captif, puis nous avons
entré les identifiants de connexion d’un utilisateur se trouvant dans notre
Active Directory.

Figure 41: Connexion à l’Internet via le portail captif

Après authentification, l’utilisateur a maintenant accès à l’Internet.

Figure 42: Accès à l’Internet

I.4. Évaluation financière du projet


Pour la réalisation de ce projet, nous utiliserons :
 Un serveur,
 Un Switch,
 Quatre mètres de câble réseau.

Désignations Caractéristiques
Server HP ProLiant Intel Xeon Silver 4114-2.2GHZ
ML350 Gen10 Mémoire:32Go DDR4 SDRAM-ECC
Disque Dur : 2To
Adaptateur réseaux : 4x Ports 10/100/1000
Mbits
Switch TP-Link Nombre de ports : 24 ports
Normes Réseau : 10/100/1000 Mbps
Nombres de Ports combo SFP (RJ45/Fibre) : 4
Câble réseau Ct6 RJ45 FTP
L’ensemble de ces équipements est décrit dans le tableau ci-dessous.

Tableau 4: Environnement de travail

Le tableau ci-dessous illustre le coût total des équipements.


Les détails des prix sont en annexe du document.
Désignations Quantit Prix unitaire Prix total en
é en francs francs
guinéens(GNF) guinéens (GNF)
Server HP ProLiant ML350 1 34 600 000 34 600 000
Gen10
Switch TP-Link 1 2 800 000 2 800 000
Câble réseau Ct6 4 mètres 5 000 20 000
Total prix des
équipements en 37 420 000
francs guinéens (GNF)
Tableau 5: Coûts de matériels

Main d’œuvre = 6 000 000 GNF. Alors, le coût total de la réalisation


de cette solution est de : 43 420 000 francs guinéens (GNF).
CONCLUSION
Notre travail a consisté à mettre en place un portail captif sur le réseau
Wi-Fi de l’ENAM dans le but de sécuriser l’accès au réseau Internet.

Pour ce faire, nous avons présenté de manière générale les portails captifs
puis nous avons étudié les principaux portails captifs libres et gratuits, que
nous avons ensuite comparés afin de choisir la solution la plus optimale à
implémenter. C’est ainsi que la solution PFsense a été retenue.

La solution de portail captif libre et gratuite est un moyen efficace pour


gérer et protéger l’accès à l’Internet.

Les différentes parties traitées dans ce travail nous ont permis d’intégrer
parfaitement PFsense comme un moyen de sécurité essentiel, notamment
l’authentification des utilisateurs via un serveur RADIUS.

La réalisation de ce travail a été enrichissante, car elle nous a permis


d’approfondir nos connaissances dans le domaine de la sécurité des
réseaux.
En guise de perspectives, nous proposons le déploiement d’autres
fonctionnalités avec le rajout des packages suivants : les packages Squid
et SquidGuard pour filtrer les URL et le package Ntopng pour la
supervision de la bande passante.
Ceci n’étant qu’un travail humain, toutes critiques constructives et
suggestions pourront, dans l’avenir, nous aider à l’améliorer.

BIBLIOGRAPHIE
 Claude SERVIN, Réseaux et télécoms, Edition Dunod, 20 Mars 2013.
 Serge BORDÈRES, Authentification réseau avec Radius, EYROLLES,
édition 2006.
 Jérôme BEZET-TORRES et Nicolas BONNET, Windows Server 2016,
Editions ENI, Avril 2017.
 The PFsense Book Netgate Mars 06, 2019.

WEBOGRAPHIE

 <https://www.supinfo.com/articles/single/2064-portail-captif>
{consulté en Mars 2019}.
 <https://fr.scribd.com/document/330629234/Portail-captif-etude-
de-cas> {consulté en Avril 2019}.
 <https://docs.microsoft.com/fr-fr/windows-server/remote/remote-
access/vpn/always-on-vpn/deploy/vpn-deploy-nps> {consulté en
Octobre 2019}.
 <https://docs.netgate.com/pfsense/en/latest/book/intro/index.html
> {consulté en Avril 2019}.
 <https://www.cisco.com/c/fr_ca/support/docs/security-vpn/remote-
authentication-dial-user-service-radius/12433-32.pdf> {consulté en
Octobre 2019}.
TABLE DES MATIÈRES
SOMMAIRE..............................................................................................................................1

LISTE DES TABLEAUX.........................................................................................................2

LISTE DES FIGURES............................................................................................................3

GLOSSAIRE.............................................................................................................................5

DEDICACE...............................................................................................................................6

REMERCIEMENTS.................................................................................................................7

INTRODUCTION....................................................................................................................8

PREMIERE PARTIE : ENVIRONNEMENT ET CONTEXE D’EXÉCUTION............10

CHAPITRE I: Présentation et étude de l’existant de l’École Nationale des


Arts et Métiers de Guinée (ENAM)...............................................................................11

I.1. Présentation de l’École Nationale des Arts et Métiers de Guinée


(ENAM)................................................................................................................................11

 Historique...................................................................................................................11

 Mission.........................................................................................................................12

 Partenaires.................................................................................................................12
 Organigramme.........................................................................................................13

I.2. Étude de l’existant de l’ENAM.........................................................................13

I.3. Critique de l’existant..........................................................................................14

I.4. Architecture réseau proposée de l’École Nationale des Arts et


Métiers de Guinée (ENAM)..........................................................................................15

DEUXIEME PARTIE : ETUDE TECHNIQUE.................................................................16

CHAPITRE I : Généralités sur les portails captifs..................................................17

I.1. Généralité...............................................................................................................17

I.2. Fonctionnement Générique d’un portail captif.........................................17

I.3. Étude des principaux portails captifs libres et gratuits........................18

I.3.1 PFsense................................................................................................................18

I.3.2 ALCASAR.............................................................................................................18

I.3.3 ZeroShell.............................................................................................................18

I.3.4 Étude comparative des solutions de portails captifs..........................19

I.3.5 Choix d’une solution de portail captif......................................................19

I.3.6 Étude technique de la solution de portail captif choisi : PFsense.20

TROISIEME PARTIE: DEPLOIEMENT DU PORTAIL CAPTIF CHOISI.................21

CHAPITRE I : Installation et Configuration de PFsense......................................22

I.1. Installation de PFsense.....................................................................................22

I.2. Configuration de PFsense.................................................................................26

I.2.1 Configuration Générale..................................................................................26

a. Configuration du DNS Forwarder...............................................................27

b. Configuration du DNS Resolver..................................................................27

I.2.2 Configuration des Interfaces.......................................................................28

a. Interface LAN.....................................................................................................28

b. Interface WAN...................................................................................................29
c. Interface WIFI.......................................................................................................29

d. Configuration du serveur DHCP.................................................................30

e. Définition des règles du firewall.................................................................30

I.3. Portail Captif..............................................................................................................32

A. Authentification et gestion des utilisateurs...............................................32

 Authentification Active Directory...................................................................32

 Configuration de l’Authentification RADIUS sur PFsense.....................38

B. Mise en place du portail captif....................................................................39

I.4. Évaluation financière du projet......................................................................41

CONCLUSION.......................................................................................................................43

BIBLIOGRAPHIE..................................................................................................................44

TABLE DES MATIÈRES......................................................................................................45

ANNEXE : Le prix des équipements informatiques...............................................48


Annexe: Le prix des équipements informatiques
 Serveur et accessoires
 Commutateur et accessoires

Centres d'intérêt liés

Vous aimerez peut-être aussi